FarontoBeta

Contrato de Encargo del Tratamiento

Adenda al amparo del artículo 28 del RGPD entre usted (el coach como responsable) y Tairi B.V. (Faronto, como encargado).

En vigor desde: 21 de mayo de 2026 · Última actualización: 24 de mayo de 2026

Esta traducción se proporciona para facilitar la comprensión. En caso de diferencias o contradicciones entre esta traducción y la versión inglesa, prevalecerá la versión inglesa de este documento.

Este Contrato de Encargo del Tratamiento (el "CET") forma parte de las Condiciones de Uso entre Tairi B.V. ("Encargado", "Faronto") y el cliente de Faronto ("Responsable", "Coach") y se aplica siempre que el Encargado trate datos personales de Coachees en nombre del Responsable en relación con el Servicio.

Este CET da cumplimiento al artículo 28 del Reglamento (UE) 2016/679 (el "RGPD"). En caso de conflicto entre este CET y las Condiciones de Uso, prevalecerá este CET en lo que respecta al tratamiento de datos personales.

Al aceptar las Condiciones de Uso, se considera que el Responsable también ha aceptado este CET. No es necesaria una firma separada.

1. Definiciones

Los términos en mayúscula no definidos en este CET tienen el significado que se les atribuye en las Condiciones de Uso o en el RGPD. En particular:

  • Datos Personales: cualquier información relativa a una persona física identificada o identificable que el Encargado trate en nombre del Responsable en virtud de las Condiciones de Uso.
  • Interesado: persona física a la que se refieren los Datos Personales, en particular un Coachee.
  • Subencargado del tratamiento: tercero contratado por el Encargado que trata Datos Personales en nombre del Encargado.
  • Violación de Datos Personales: violación de la seguridad que ocasione la destrucción, pérdida, alteración accidental o ilícita o la divulgación o el acceso no autorizados a los Datos Personales.

2. Objeto, duración y naturaleza del tratamiento

  1. Objeto. El Encargado trata Datos Personales para prestar el Servicio al Responsable, conforme a lo establecido en las Condiciones de Uso.
  2. Duración. El tratamiento continuará mientras el Responsable utilice el Servicio, más cualquier periodo de conservación posterior a la resolución que se acuerde más adelante.
  3. Naturaleza y finalidad. El tratamiento consiste en las operaciones descritas en el Anexo 1 y se realiza únicamente para prestar el Servicio.
  4. Categorías de Interesados y Datos Personales. Véase el Anexo 1.

3. Roles e instrucciones

  1. El Responsable es el responsable del tratamiento de los Datos Personales y el Encargado es el encargado del tratamiento, en el sentido en que estos términos se definen en el RGPD.
  2. El Encargado tratará los Datos Personales únicamente siguiendo las instrucciones documentadas del Responsable, también en lo relativo a las transferencias a terceros países, salvo que esté obligado a actuar de otro modo en virtud del Derecho de la Unión o de los Estados miembros aplicable al Encargado. En tal caso, el Encargado informará al Responsable de dicha exigencia legal antes del tratamiento, salvo que la ley lo prohíba por razones importantes de interés público.
  3. Las instrucciones del Responsable están recogidas en las Condiciones de Uso, este CET, la Documentación y las opciones de configuración que el Responsable elija dentro del Servicio. El Responsable podrá impartir instrucciones adicionales razonables por escrito que sean coherentes con el Servicio.
  4. Si el Encargado considera que una instrucción infringe el RGPD u otra normativa de protección de datos aplicable, lo notificará al Responsable sin demora.
  5. El Responsable es responsable de garantizar que dispone de una base jurídica válida para el tratamiento que ordena al Encargado realizar, incluida, cuando proceda, la obtención del consentimiento explícito conforme al artículo 9, apartado 2, letra a), del RGPD para las categorías especiales de datos.

4. Confidencialidad

El Encargado garantizará que cualquier persona autorizada a tratar Datos Personales esté sujeta a una obligación de confidencialidad, ya sea por contrato o por deber legal.

5. Seguridad del tratamiento

  1. Teniendo en cuenta el estado de la técnica, los costes de aplicación, así como la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos para los derechos y libertades de las personas físicas, el Encargado aplicará medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo.
  2. Las medidas vigentes se describen en el Anexo 3. El Encargado podrá actualizarlas ocasionalmente, siempre que el nivel de seguridad no se reduzca sustancialmente.

6. Subencargados del tratamiento

  1. El Responsable concede por la presente al Encargado una autorización general para contratar Subencargados del tratamiento. La lista actual de Subencargados del tratamiento autorizados figura en el Anexo 2.
  2. Cuando el Encargado contrate a un nuevo Subencargado del tratamiento o sustituya a uno existente, lo notificará al Responsable con al menos 30 días de antelación, por correo electrónico o mediante aviso dentro del producto. El Responsable podrá oponerse por motivos razonables relacionados con la protección de datos.
  3. Si el Responsable se opone en el plazo de 30 días desde su notificación, las partes negociarán de buena fe. Si las partes no logran acordar una solución, el Responsable podrá, como único recurso, resolver la parte afectada del Servicio por conveniencia mediante notificación por escrito. La resolución de la parte afectada no da derecho al Responsable al reembolso de las Tarifas ya pagadas correspondientes a periodos anteriores a la resolución.
  4. El Encargado impondrá a cada Subencargado del tratamiento obligaciones de protección de datos que no sean menos protectoras que las establecidas en este CET, en particular ofreciendo garantías suficientes de aplicación de medidas técnicas y organizativas apropiadas.
  5. El Encargado seguirá siendo plenamente responsable ante el Responsable del cumplimiento de las obligaciones de cada Subencargado del tratamiento conforme a su contrato con el Encargado.

7. Asistencia con los derechos de los Interesados

  1. Teniendo en cuenta la naturaleza del tratamiento, el Encargado asistirá al Responsable mediante medidas técnicas y organizativas apropiadas, en la medida de lo posible, para que pueda cumplir su obligación de responder a las solicitudes de ejercicio de los derechos de los Interesados previstos en el Capítulo III del RGPD.
  2. Si el Encargado recibe una solicitud de un Interesado, no responderá directamente a la solicitud salvo que la ley lo exija, y remitirá al Interesado al Responsable sin dilación indebida.

8. Asistencia con las demás obligaciones del Responsable

Teniendo en cuenta la naturaleza del tratamiento y la información disponible para el Encargado, el Encargado asistirá al Responsable en el cumplimiento de las obligaciones previstas en los artículos 32 a 36 del RGPD (seguridad, notificación de violaciones, evaluaciones de impacto en la protección de datos y consulta previa).

9. Notificación de Violaciones de Datos Personales

  1. El Encargado notificará al Responsable sin dilación indebida y, en cualquier caso, en un plazo de 72 horas tras tener conocimiento de una Violación de Datos Personales que afecte a los Datos Personales del Responsable.
  2. La notificación incluirá, en la medida de lo posible: la naturaleza de la violación, las categorías y el número aproximado de Interesados y registros afectados, las consecuencias probables y las medidas adoptadas o propuestas para hacer frente a la violación y mitigar sus posibles efectos adversos.
  3. Cuando el Encargado no pueda facilitar toda la información al mismo tiempo, podrá hacerlo de forma escalonada sin más dilación indebida.
  4. La notificación o asistencia del Encargado conforme a esta cláusula no constituirá ni se interpretará como un reconocimiento de culpa o responsabilidad.

10. Auditorías

  1. El Encargado pondrá a disposición del Responsable toda la información razonablemente necesaria para demostrar el cumplimiento de este CET y del artículo 28 del RGPD.
  2. La forma principal de cooperación del Encargado en materia de auditoría consiste en facilitar: (a) certificaciones de seguridad e informes de auditoría de terceros vigentes (cuando estén disponibles); (b) respuestas a cuestionarios de seguridad; y (c) la descripción de las medidas del Anexo 3.
  3. Cuando los materiales de la cláusula 10.2 no sean suficientes para demostrar el cumplimiento, el Responsable podrá, a su cargo y previa notificación por escrito de al menos 30 días, auditar las actividades de tratamiento del Encargado a través de un auditor independiente razonablemente aceptable para ambas partes. Las auditorías: (a) se limitarán a la información directamente pertinente para el cumplimiento del CET por parte del Encargado; (b) se realizarán durante el horario laboral habitual; (c) no se llevarán a cabo más de una vez en cualquier periodo de 12 meses, salvo que lo exija una autoridad de control o tras una Violación de Datos Personales sustancial; y (d) estarán sujetas a obligaciones de confidencialidad.
  4. El auditor no podrá acceder a datos de otros clientes, código fuente o secretos comerciales salvo que sea estrictamente necesario y bajo las salvaguardas adecuadas.

11. Transferencias internacionales

  1. Dónde se tratan los Datos Personales. El Encargado trata los Datos Personales principalmente dentro del Espacio Económico Europeo. Los Subencargados del tratamiento ubicados fuera del EEE figuran en el Anexo 2. El Encargado no transferirá Datos Personales fuera del EEE salvo que exista un mecanismo de transferencia adecuado conforme al Capítulo V del RGPD.
  2. Transferencias ulteriores por el Encargado. Cuando el Encargado o un Subencargado del tratamiento trate Datos Personales en un país fuera del EEE que no haya recibido una decisión de adecuación de la Comisión Europea, el Encargado se basará en las Cláusulas Contractuales Tipo (Decisión de Ejecución (UE) 2021/914 de la Comisión), Módulo 3 (de encargado a encargado), incluidas las medidas complementarias necesarias tras la sentencia Schrems II. El Responsable concede al Encargado un derecho de adhesión (docking right) para añadir, en la medida necesaria, Subencargados del tratamiento como partes de dichas cláusulas en nombre del Responsable. Cuando el Encargado ponga Datos Personales a disposición de un Responsable establecido fuera del EEE, las partes acuerdan que la transferencia (si se produce cualquier transferencia restringida en esa dirección) se rige por las disposiciones específicas por jurisdicción de las Secciones 11.3–11.6, en lugar del Módulo 4 de las CCT UE.
  3. Responsables del Reino Unido. Cuando el Responsable esté establecido en el Reino Unido o los Datos Personales estén sujetos al UK GDPR: (a) las referencias al RGPD en este CET se entenderán hechas también al UK GDPR cuando proceda; (b) el Addendum del Reino Unido a las CCT UE (emitido por el Information Commissioner's Office en virtud de la Section 119A del UK Data Protection Act 2018) se incorpora por referencia y se aplica a cualquier transferencia ulterior desde el Reino Unido que constituya una transferencia restringida bajo el Derecho británico; (c) la UK ICO es la autoridad de control competente para las cuestiones regidas por el UK GDPR.
  4. Responsables suizos. Cuando el Responsable esté establecido en Suiza o los Datos Personales estén sujetos a la Ley Federal Suiza de Protección de Datos (LFPD/FADP), las modificaciones del FDPIC suizo a las CCT UE se incorporan por referencia, y las referencias al RGPD en este CET se entenderán hechas también a la FADP. El FDPIC suizo es la autoridad de control competente.
  5. Responsables de los Estados Unidos. Cuando el Responsable esté establecido en los Estados Unidos o trate Datos Personales sujetos a leyes de privacidad estatales de EE. UU. (incluidas la CCPA / CPRA, VCDPA, CPA, CTDPA, UCPA y leyes sucesoras o equivalentes), el Encargado actúa como "service provider" o "processor" en virtud de dichas leyes: el Encargado no (a) venderá ni compartirá los Datos Personales; (b) conservará, utilizará o divulgará los Datos Personales fuera de la relación comercial directa; (c) combinará los Datos Personales con información personal obtenida de otras fuentes, salvo en la medida en que lo permita la ley aplicable. El Encargado cooperará con las obligaciones de cumplimiento del Responsable en virtud de dichas leyes a solicitud razonable.
  6. Otros Responsables fuera del EEE. Cuando el Responsable esté establecido en un país no contemplado anteriormente, las partes cooperarán de buena fe para implantar cualquier mecanismo contractual específico por jurisdicción que razonablemente exija la normativa de protección de datos aplicable al Responsable.
  7. Evaluaciones de Impacto de Transferencia. El Encargado mantiene Evaluaciones de Impacto de Transferencia para las transferencias materiales a Subencargados del tratamiento ubicados fuera del EEE y facilitará un resumen previa solicitud razonable, con sujeción a la confidencialidad.

12. Devolución o supresión de los Datos Personales

  1. Tras la resolución del Servicio o a elección del Responsable, el Encargado, en un plazo de 30 días, suprimirá o devolverá todos los Datos Personales al Responsable y suprimirá las copias existentes, salvo en la medida en que el Derecho de la Unión o de los Estados miembros exija su conservación.
  2. El Encargado proporcionará un mecanismo de exportación en autoservicio dentro del Servicio para que el Responsable pueda recuperar los Datos Personales antes de su supresión.
  3. El periodo estándar de retención de copias de seguridad del Encargado es una ventana móvil de 30 días. Los Datos Personales en las copias de seguridad se sobrescribirán en el curso ordinario y permanecerán sujetos a este CET hasta su sobrescritura.
  4. A solicitud escrita del Responsable, una vez completadas las actuaciones previstas en la cláusula 12.1, el Encargado proporcionará confirmación por escrito de que los Datos Personales han sido suprimidos o devueltos de conformidad con la presente Sección 12.

13. Responsabilidad

La responsabilidad de las partes en virtud de este CET está sujeta a las limitaciones de responsabilidad establecidas en las Condiciones de Uso. Nada en las Condiciones de Uso limita la responsabilidad de una parte conforme al artículo 82 del RGPD frente a un Interesado.

14. Vigencia y resolución

Este CET entra en vigor en la fecha de efecto de las Condiciones de Uso y permanecerá en vigor mientras el Encargado trate Datos Personales en nombre del Responsable. Las cláusulas que por su naturaleza deban subsistir (incluidas las 4, 7, 10, 11, 12 y 13) seguirán en vigor tras la resolución.

15. Disposiciones varias

  1. Si alguna disposición de este CET se considera inválida o inaplicable, las demás disposiciones permanecerán plenamente en vigor.
  2. Este CET se rige por el Derecho neerlandés, y los litigios se someten a la jurisdicción exclusiva del tribunal competente de Ámsterdam, en consonancia con las Condiciones de Uso.
  3. En caso de discrepancia entre versiones lingüísticas de este CET, prevalecerá la versión en inglés.

Anexo 1: Detalles del tratamiento

A. Objeto y duración

El objeto es el tratamiento de Datos Personales de Coachees por parte del Encargado para prestar el Servicio al Responsable. Duración: durante la vigencia de las Condiciones de Uso, más el periodo de supresión previsto en la cláusula 12.

B. Naturaleza y finalidad

El Encargado realiza las siguientes operaciones sobre los Datos Personales: almacenamiento, recuperación, organización, estructuración, transmisión, hospedaje, copias de seguridad, supresión y (cuando el Responsable habilite las funcionalidades de IA) envío de contenido limitado al Subencargado del tratamiento de IA para su procesamiento y devolución del texto generado.

C. Categorías de Datos Personales

  • Datos de identidad y contacto: nombre completo, dirección de correo electrónico, número de teléfono (opcional), cargo profesional (opcional).
  • Contenido de coaching: notas del coach, notas privadas, transcripciones de sesión, briefings de preparación y resúmenes generados por IA, aportaciones del cliente previas a la sesión, elementos de acción, objetivos, notas de progreso, etiquetas.
  • Datos de sesión: horarios programados, duración, enlaces e ID de reuniones, zonas horarias, ID de eventos de calendario, tipo de ubicación, valoraciones de resultados, comentarios de feedback.
  • Asignaciones de recursos y respuestas a fichas de trabajo: qué recursos de la biblioteca (artículos, guías, fichas de trabajo) comparte el Responsable con el Coachee, las respuestas del Coachee a las fichas de trabajo asignadas y las marcas de tiempo de visualización, descarga y envío relacionadas.
  • Comunicaciones: impulsos, recordatorios de facturas y otros mensajes enviados al Coachee en nombre del Responsable.
  • Datos de cuenta (cuando el Coachee utiliza el portal del cliente): tokens de autenticación, marcas de tiempo de la última visita.
  • Datos de facturación (cuando el Responsable factura a los Coachees a través de Stripe Connect): líneas de factura, totales, fechas de vencimiento, estado, identificadores de factura de Stripe.
  • Datos técnicos: dirección IP, agente de usuario y datos de registro generados cuando un Coachee utiliza el portal del cliente.

D. Categorías especiales de datos

El contenido de coaching puede incluir datos relativos a la salud, la salud mental y el bienestar, cuando el Responsable opte por registrar dicha información. El Responsable es responsable de la licitud del tratamiento de tales datos, incluida, cuando proceda, la obtención del consentimiento explícito conforme al artículo 9, apartado 2, letra a), del RGPD.

E. Categorías de Interesados

  • Coachees del Responsable.
  • Usuarios Autorizados del Responsable (cuando proceda).

Anexo 2: Subencargados del tratamiento

Los siguientes Subencargados del tratamiento están autorizados por el Responsable a partir de la fecha de efecto de este CET. La lista refleja las entidades que el Encargado utiliza para prestar el Servicio. Una lista actualizada también se publica en la Política de Privacidad en faronto.com/privacy.

Subencargado del tratamientoServicioUbicación del tratamientoMecanismo de transferencia
Vercel Inc.Hospedaje de la aplicación, entrega edgeRegión UE (con caché edge)CCT UE / EU-US Data Privacy Framework
Neon Inc.Base de datos PostgreSQL gestionadaFráncfort, UECCT UE
Cloudflare, Inc. (R2)Almacenamiento de objetos para archivos y adjuntosJurisdicción UECCT UE
Resend (Resend.com Inc.)Envío de correos electrónicos transaccionalesEstados UnidosCCT UE / EU-US Data Privacy Framework
OpenAI Ireland Ltd / OpenAI L.L.C.Briefings de preparación, resúmenes de sesión y borradores de impulsos de IAEstados UnidosCCT UE; OpenAI no entrena con los datos de la API
Stripe Payments Europe Ltd / Stripe, Inc.Stripe Connect: facturación de los Coachees por parte del ResponsableIrlanda / Estados UnidosCCT UE / EU-US Data Privacy Framework
Google LLCSincronización de calendario (cuando esté conectada)Estados UnidosCCT UE / EU-US Data Privacy Framework
Microsoft CorporationInicio de sesión y sincronización de calendario (cuando esté conectada)Estados Unidos / UECCT UE / EU-US Data Privacy Framework
Zoom Communications, Inc.Integración de reuniones por vídeo (cuando esté conectada)Estados UnidosCCT UE / EU-US Data Privacy Framework
PostHog EUAnalítica de producto, medición de activación, repetición de sesión y análisis de atribuciónUnión Europea (instancia de Fráncfort)Tratamiento en la UE conforme a las condiciones de tratamiento de datos de PostHog
Upstash, Inc.Cola de tareas en segundo plano (QStash) y almacén de limitación de frecuencia (Redis)Unión Europea (AWS eu-central-1, Fráncfort)CCT UE / EU-US Data Privacy Framework
Functional Software, Inc. (Sentry)Supervisión de errores y rendimiento de la aplicaciónEstados UnidosCCT UE / EU-US Data Privacy Framework

Los mecanismos indicados se aplican a las transferencias basadas en las CCT UE. Para Responsables del Reino Unido, las CCT UE se extienden mediante el Addendum del Reino Unido (§ 11.3). Para Responsables suizos, se aplican las CCT modificadas por el FDPIC (§ 11.4). Para Responsables de los EE. UU., se aplican las obligaciones del Encargado como "service provider" en virtud de las leyes de privacidad estatales de EE. UU. aplicables (§ 11.5).

Nota sobre Paddle. Paddle (Paddle.com Market Limited) trata los datos de facturación del coach (nombre, correo electrónico, método de pago) como merchant of record para los planes de Servicio propios del Encargado. Se trata de una relación directa de Responsable del tratamiento a Responsable del tratamiento entre el coach y Paddle. Paddle no es un Subencargado en virtud del presente DPA. La relación del coach con Paddle se establece en la Política de privacidad del Encargado en faronto.com/privacy.

Anexo 3: Medidas técnicas y organizativas de seguridad

A. Medidas para garantizar la confidencialidad

  • Cifrado de datos en tránsito mediante TLS 1.2 o superior.
  • Cifrado de datos en reposo en la base de datos y en el almacenamiento de objetos.
  • Cifrado AES-256-GCM de secretos almacenados de alta sensibilidad, en particular los tokens OAuth de terceros.
  • Autenticación sin contraseña: no se almacenan contraseñas. Inicio de sesión mediante tokens de enlace mágico de corta duración (15 minutos) y un solo uso o Google OAuth. Los tokens de enlace mágico se almacenan únicamente como hashes SHA-256 en reposo, nunca en texto plano.
  • Cabeceras de respuesta HTTP de seguridad en todas las respuestas: HTTP Strict Transport Security, Content-Security-Policy, X-Frame-Options, Referrer-Policy y Permissions-Policy.
  • Limitación de frecuencia en los endpoints públicos de autenticación y de subida de archivos para acotar el relleno de credenciales, la enumeración y el abuso.
  • Control de acceso basado en roles con principio de mínimo privilegio; autenticación multifactor para el acceso a producción.
  • Obligaciones de confidencialidad para todo el personal con acceso a Datos Personales.
  • Segmentación de los datos de los clientes de modo que el Responsable solo pueda acceder a sus propios Datos Personales.

B. Medidas para garantizar la integridad

  • Registros de auditoría de las acciones administrativas.
  • Revisión de código y pruebas automatizadas de los cambios en el Servicio.
  • Análisis de dependencias y aplicación oportuna de parches de seguridad.
  • Salvaguardas de idempotencia en las operaciones críticas para evitar la corrupción silenciosa (por ejemplo, deduplicación de webhooks).

C. Medidas para garantizar la disponibilidad y la resiliencia

  • Hospedaje en infraestructura europea resiliente con conmutación por error automática.
  • Copias de seguridad diarias de la base de datos con una ventana de retención mínima de 30 días.
  • Procedimientos documentados de respuesta a incidentes.

D. Medidas para restaurar la disponibilidad y el acceso

  • Procedimientos de restauración a partir de copias de seguridad probados.
  • Manuales operativos para las clases de incidentes más comunes.

E. Medidas para la evaluación continua

  • Revisión periódica de los derechos de acceso, la configuración de seguridad y los acuerdos con Subencargados del tratamiento.
  • Monitorización continua de las tasas de error, de los eventos de seguridad y de las señales de analítica de producto.
  • La repetición de sesión, cuando esté habilitada, se configura para enmascarar campos sensibles y excluir el contenido de coaching, los objetivos, las notas, los prompts y las salidas de IA, los datos de pago, los secretos de autenticación y los campos privados de texto libre.
  • Revisiones periódicas de proveedores y actualización de contratos.

F. Seudonimización y minimización

  • Los Datos Personales se envían al Subencargado del tratamiento de IA solo cuando es estrictamente necesario, con el contexto mínimo requerido para el resultado solicitado.
  • El Encargado no añade direcciones de correo electrónico, números de teléfono ni datos de facturación como campos estructurados en las solicitudes al Subencargado del tratamiento de IA; el contenido de texto libre facilitado por el Responsable, como las transcripciones de sesión y las notas, se transmite tal como está redactado.
  • El acceso a producción se realiza mediante cuentas individuales; no se permiten credenciales compartidas.
Volver arriba