Acuerdo de Tratamiento de Datos (DPA) aplica a la app Scriptorium (api_script) operada por
pibiCo Compañía de Inteligencia de Negocio y Control SL
CIF ES B52567831 · Avenida de La Costa, 35-6T, 33201 Gijón, Asturias, España
Soporte: soporte@pibico.es · DPO: soporte@pibico.es
Versión: 1.0.0 · Vigente desde: 2026-05-10

Acuerdo de Tratamiento de Datos (DPA)

Anexo al contrato de servicio entre el Cliente y pibiCo Compañía de Inteligencia de Negocio y Control SL para el cumplimiento del Reglamento (UE) 2016/679 (RGPD).

1. Partes

  • Responsable del tratamiento ("Cliente"): la entidad u organización que ha contratado el Servicio.
  • Encargado del tratamiento: pibiCo Compañía de Inteligencia de Negocio y Control SL, CIF ES B52567831, Avenida de La Costa 35-6T, 33201 Gijón, Asturias, España.

2. Objeto

El Encargado tratará datos personales por cuenta del Responsable únicamente para prestar los servicios contratados (Scriptorium) según las instrucciones documentadas del Responsable.

3. Datos tratados

  • email
  • name
  • org

4. Categorías de interesados

  • Empleados, colaboradores y miembros del Cliente
  • Clientes finales del Cliente cuyos datos se gestionan dentro del Servicio

5. Obligaciones del Encargado

El Encargado se compromete a:

  • Tratar los datos sólo conforme a las instrucciones documentadas del Responsable
  • Garantizar confidencialidad por parte de personal autorizado
  • Aplicar medidas técnicas y organizativas apropiadas (cifrado en reposo y tránsito, control de accesos, registros de auditoría, copias de seguridad)
  • Asistir al Responsable en la atención de derechos del interesado
  • Notificar brechas de seguridad sin dilación, en plazo máximo 72h
  • Suprimir o devolver los datos al finalizar el servicio
  • Permitir auditorías razonables por el Responsable o auditor externo independiente

6. Subencargados (subprocesadores)

El Encargado no utiliza subencargados externos para prestar el Servicio. Cualquier incorporación futura será notificada con 30 días de antelación.

7. Transferencias internacionales

Cuando subencargados se localicen fuera del EEE, las transferencias se realizan con base en Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea o Decisiones de Adecuación.

8. Medidas de seguridad

El Encargado aplica entre otras:

  • Cifrado en tránsito (TLS 1.2+) y en reposo (AES-256)
  • Autenticación passwordless (passkeys WebAuthn) y MFA
  • Control de accesos basado en roles (RBAC)
  • Registros de auditoría inmutables
  • Copias de seguridad cifradas con plan de recuperación
  • Pruebas regulares de seguridad y revisión de dependencias

9. Brecha de seguridad

En caso de brecha que afecte a datos personales del Responsable, el Encargado notificará al Responsable sin dilación indebida, dentro de las 72h siguientes a tener constancia, incluyendo:

  • Naturaleza de la brecha
  • Categorías y número estimado de interesados afectados
  • Medidas adoptadas o propuestas
  • Punto de contacto del Encargado para coordinar respuesta

10. Derechos de auditoría

El Responsable puede solicitar evidencias documentales del cumplimiento (informes de auditoría, certificaciones, descripciones técnicas) hasta una vez al año o tras cualquier brecha relevante. Auditorías in situ requieren acuerdo previo y se ejecutan en horario laboral sin interrumpir el Servicio.

11. Plazo y finalización

Este DPA entra en vigor con la suscripción al Servicio y permanece vigente mientras el Cliente mantenga cuenta activa. A su finalización, el Encargado suprimirá o devolverá los datos personales según instrucción documentada del Responsable, salvo obligación legal de conservación (datos de facturación: 6 años).

12. Responsabilidad

Cada parte responde de sus propios incumplimientos del RGPD. La responsabilidad del Encargado se limita conforme a lo establecido en los Términos del Servicio.

Última actualización: 2026-05-10 · Versión 1.0.0

© 2026 pibiCo