Acuerdo de Tratamiento de Datos (DPA)
Última actualización: 25 de marzo de 2026
1. Introducción
El presente Acuerdo de Tratamiento de Datos (en adelante, “DPA”) es un anexo a los Términos y Condicionesentre Digital Technologies OU (“Pilotium”, “Encargado del tratamiento”) y el cliente (“Cliente”, “Responsable del tratamiento”). Este DPA tiene por objeto garantizar el cumplimiento del Reglamento General de Protección de Datos (RGPD, Reglamento UE 2016/679) y demás legislación aplicable en materia de protección de datos.
Al utilizar los servicios de Pilotium, el Cliente acepta los términos de este DPA.
2. Roles de las partes
- Responsable del tratamiento (Controlador): El Cliente, que determina los fines y medios del tratamiento de los datos personales de sus leads, miembros y clientes del gimnasio.
- Encargado del tratamiento (Procesador): Pilotium (Digital Technologies OÜ), que trata los datos personales en nombre y por cuenta del Cliente conforme a las instrucciones de este DPA.
Pilotium también actúa como responsable del tratamiento de sus propios datos (datos de cuenta del Cliente, datos de facturación, datos de uso de la plataforma), cuyo tratamiento se rige por la Política de Privacidad.
3. Datos personales tratados
En el marco de la prestación del Servicio, Pilotium puede tratar las siguientes categorías de datos personales por cuenta del Cliente:
| Categoría de datos | Ejemplos |
|---|---|
| Datos identificativos de leads | Nombre, teléfono, email, ciudad |
| Datos de interacción | Mensajes de WhatsApp con agentes de IA, respuestas a formularios de captación, reservas de clases de prueba |
| Datos de encuestas | Respuestas de miembros del gimnasio (anonimizadas para perfiles de audiencia) |
| Datos de campaña | Métricas publicitarias asociadas a leads (impresiones, clics, conversiones) |
Categorías de interesados: Leads (potenciales clientes del gimnasio), miembros actuales del gimnasio (en caso de encuestas), personas que interactúan con los anuncios del Cliente.
4. Finalidad y duración del tratamiento
Pilotium tratará los datos personales exclusivamente para las siguientes finalidades:
- Gestión de campañas publicitarias en las Plataformas Publicitarias (Meta, Google, TikTok, Snapchat) en nombre del Cliente
- Cualificación de leads mediante agentes de inteligencia artificial
- Gestión de reservas de clases de prueba
- Generación de reportes y analíticas de rendimiento para el Cliente
- Notificaciones al Cliente sobre nuevos leads y estado de campañas
El tratamiento se mantendrá durante la vigencia de la suscripción del Cliente y durante los 30 días posteriores a la cancelación (período de retención). Tras dicho período, los datos serán eliminados conforme al apartado 9.
5. Obligaciones de Pilotium como Encargado
Pilotium se compromete a:
- Tratar los datos personales únicamente conforme a las instrucciones documentadas del Cliente y a los fines establecidos en este DPA, salvo que una obligación legal lo requiera (en cuyo caso, Pilotium informará previamente al Cliente, excepto cuando la ley lo prohíba)
- Garantizar que todas las personas autorizadas para tratar los datos se han comprometido a la confidencialidad
- Implementar las medidas técnicas y organizativas de seguridad descritas en el apartado 7
- No subcontratar el tratamiento sin la autorización previa del Cliente, conforme al apartado 6
- Asistir al Cliente en el cumplimiento de sus obligaciones de respuesta a solicitudes de ejercicio de derechos de los interesados (acceso, rectificación, supresión, portabilidad, etc.)
- Asistir al Cliente en el cumplimiento de sus obligaciones en materia de seguridad del tratamiento, notificación de violaciones de seguridad, evaluaciones de impacto y consultas previas a la autoridad de control
- A elección del Cliente, suprimir o devolver todos los datos personales una vez finalizada la prestación del servicio, conforme al apartado 9
- Poner a disposición del Cliente toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el RGPD Art. 28
6. Sub-encargados del tratamiento
El Cliente otorga a Pilotium una autorización general para recurrir a sub-encargados del tratamiento. Los sub-encargados actuales son:
| Sub-encargado | Finalidad | Ubicación |
|---|---|---|
| Meta Platforms, Inc. | Publicación y gestión de anuncios | UE/EE.UU. (DPF) |
| Google LLC | Publicación y gestión de anuncios | UE/EE.UU. (DPF) |
| TikTok Inc. | Publicación y gestión de anuncios | EE.UU./Singapur (SCC) |
| Anthropic PBC | Agente conversacional de IA | EE.UU. (DPF) |
| Hetzner Online GmbH | Alojamiento de servidores y base de datos | UE (Alemania) |
| Brevo (Sendinblue) SAS | Envío de emails transaccionales | UE (Francia) |
| Resend Inc. | Envío de emails transaccionales | EE.UU. (DPF) |
Pilotium informará al Cliente de cualquier adición o sustitución de sub-encargados con un preaviso mínimo de 30 días. Si el Cliente se opone a un nuevo sub-encargado por motivos justificados de protección de datos, y la objeción no se resuelve en un plazo de 30 días, el Cliente podrá resolver el contrato sin penalización.
Pilotium garantiza que todos los sub-encargados están vinculados por obligaciones de protección de datos equivalentes a las establecidas en este DPA.
7. Medidas de seguridad
Pilotium implementa las siguientes medidas técnicas y organizativas para proteger los datos personales:
- Cifrado: TLS 1.2+ en tránsito, AES-256-CBC en reposo
- Control de acceso: Acceso basado en roles (principio de mínimo privilegio), autenticación por clave SSH, contraseñas cifradas con bcrypt
- Seguridad de red: Firewall (UFW), protección contra intrusiones (fail2ban), protección DDoS (Cloudflare)
- Alojamiento: Servidores ubicados en la UE (Hetzner Online GmbH, Alemania)
- Backups: Copias de seguridad periódicas en la UE
- Datos de pago: Procesados por Stripe (certificado PCI-DSS); los datos de tarjeta no se almacenan en los servidores de Pilotium
- Confidencialidad: Todo el personal con acceso a datos personales está sujeto a obligaciones de confidencialidad
- Monitorización: Supervisión continua de sistemas y alertas de seguridad
8. Violaciones de seguridad
En caso de una violación de seguridad que afecte a datos personales tratados por cuenta del Cliente, Pilotium:
- Notificará al Cliente sin demora indebida, y en cualquier caso en un plazo máximo de 48 horas desde que tenga conocimiento de la violación
- Proporcionará al Cliente toda la información disponible sobre la naturaleza de la violación, las categorías de datos afectados, las consecuencias probables y las medidas adoptadas o propuestas para remediarla
- Cooperará plenamente con el Cliente para cumplir con las obligaciones de notificación a la autoridad de control (Art. 33 RGPD) y a los interesados (Art. 34 RGPD)
- Documentará todas las violaciones de seguridad y las medidas correctivas adoptadas
9. Devolución y supresión de datos
Tras la cancelación de la suscripción del Cliente:
- El Cliente podrá solicitar la exportación de sus datos de leads y campañas durante los 30 días posteriores a la cancelación
- Transcurrido el período de retención de 30 días, Pilotium suprimirá todos los datos personales tratados por cuenta del Cliente, salvo que una obligación legal exija su conservación (en cuyo caso, los datos se mantendrán bloqueados y solo accesibles para cumplir dicha obligación)
- Pilotium proporcionará al Cliente confirmación escrita de la supresión, previa solicitud
10. Derechos de los interesados
Si Pilotium recibe una solicitud de un interesado (lead u otra persona cuyos datos se tratan por cuenta del Cliente) para ejercer sus derechos bajo el RGPD (acceso, rectificación, supresión, portabilidad, oposición, etc.):
- Pilotium informará al Cliente de dicha solicitud sin demora indebida
- Pilotium no responderá directamente a la solicitud, salvo que el Cliente lo autorice o la ley lo exija
- Pilotium prestará al Cliente la asistencia razonable necesaria para dar respuesta a la solicitud
11. Transferencias internacionales
Cuando el tratamiento de datos personales por cuenta del Cliente implique transferencias fuera del Espacio Económico Europeo, Pilotium garantiza que se aplican las salvaguardias adecuadas:
- Decisiones de adecuación de la Comisión Europea (Art. 45 RGPD)
- EU-U.S. Data Privacy Framework (DPF) para proveedores adheridos
- Cláusulas contractuales tipo (SCC) aprobadas por la Comisión Europea para los demás casos
12. Auditoría
Pilotium pondrá a disposición del Cliente toda la información razonablemente necesaria para demostrar el cumplimiento de las obligaciones establecidas en este DPA y en el RGPD Art. 28. El Cliente (o un auditor designado, sujeto a confidencialidad) podrá realizar una auditoría anual, con un preaviso mínimo de 30 días, en horario comercial y sin interferir con las operaciones de Pilotium.
13. Responsabilidad
La responsabilidad de cada parte en relación con este DPA se rige por las limitaciones establecidas en los Términos y Condiciones. Nada en este DPA limita la responsabilidad de ninguna de las partes frente a los interesados ni ante las autoridades de protección de datos conforme al RGPD.
14. Vigencia
Este DPA entra en vigor al aceptar los Términos y Condiciones y permanecerá vigente mientras Pilotium trate datos personales por cuenta del Cliente. Las obligaciones de confidencialidad y las relativas a la supresión de datos sobrevivirán a la terminación de este DPA.
15. Legislación aplicable
Este DPA se rige por la misma legislación aplicable a los Términos y Condiciones (legislación de la República de Estonia para clientes de la UE).
16. Contacto
Para cualquier consulta relacionada con este DPA o con el tratamiento de datos personales, contacta con nosotros en [email protected].