Acuerdo de Tratamiento de Datos (DPA)

Este Acuerdo de Tratamiento de Datos ("DPA") regula el tratamiento de datos personales que Ruum realiza por cuenta del usuario profesional al prestar el Servicio, conforme al artículo 28 del Reglamento (UE) 2016/679 (RGPD). Forma parte de los Términos y Condiciones de Uso y se aplica cuando el usuario profesional introduce en Ruum datos personales de terceros (por ejemplo, sus clientes, colaboradores o destinatarios de presupuestos).

Nota: Este DPA es una base razonable para la fase actual. Antes de su uso con clientes que lo exijan formalmente, conviene una revisión legal y la firma o aceptación expresa.

1. Partes y roles

Responsable del tratamiento: el usuario profesional / empresa que utiliza el Servicio (en adelante, "el Cliente").
Encargado del tratamiento: Daniel Gil Alegre (Ruum), NIF/NIE 71364447R, Calle Ramón Menéndez Pidal 7, 09002 Burgos, privacy@ruum.es.

El Cliente determina los fines y medios del tratamiento de los datos que introduce; Ruum los trata únicamente siguiendo sus instrucciones documentadas (incluidas las derivadas del uso del Servicio).

2. Objeto, duración, naturaleza y finalidad

Objeto: la prestación del Servicio Ruum (gestión de proyectos, presupuestos, clientes, colaboración y funcionalidades asociadas).
Duración: mientras el Cliente use el Servicio, más los plazos de conservación o devolución/supresión posteriores.
Naturaleza y finalidad: alojamiento, almacenamiento, organización, consulta, comunicación y demás operaciones necesarias para prestar el Servicio.

3. Categorías de interesados y de datos

Interesados: clientes del Cliente, colaboradores, destinatarios de presupuestos, miembros del equipo y otros terceros cuyos datos introduzca el Cliente.
Categorías de datos: datos de identificación y contacto, datos profesionales y de empresa, datos de proyectos y presupuestos, y demás datos que el Cliente decida introducir. El Cliente se abstendrá de introducir categorías especiales de datos (art. 9 RGPD) salvo que exista base legítima y se informe a Ruum.

4. Obligaciones de Ruum (encargado)

Ruum se compromete a:

Tratar los datos solo siguiendo las instrucciones documentadas del Cliente, salvo obligación legal (en cuyo caso lo informará, si está permitido).
Garantizar que las personas autorizadas a tratar los datos se han comprometido a la confidencialidad.
Aplicar las medidas de seguridad técnicas y organizativas apropiadas (ver Política de Seguridad).
Respetar las condiciones para recurrir a subencargados (cláusula 5).
Asistir al Cliente, en la medida posible, para atender las solicitudes de ejercicio de derechos de los interesados.
Asistir al Cliente en el cumplimiento de sus obligaciones de seguridad, notificación de brechas y evaluaciones de impacto (arts. 32 a 36 RGPD).
A elección del Cliente, suprimir o devolver los datos al finalizar la prestación, salvo conservación obligatoria por ley.
Poner a disposición del Cliente la información necesaria para demostrar el cumplimiento y permitir auditorías razonables.
Informar al Cliente si, en su opinión, una instrucción infringe la normativa de protección de datos.

5. Subencargados

El Cliente autoriza con carácter general que Ruum recurra a los subencargados enumerados en el Anexo de Subencargados. Ruum:

Impondrá a cada subencargado, mediante contrato, obligaciones de protección equivalentes a las de este DPA.
Informará de los cambios relevantes de subencargados con antelación razonable, permitiendo al Cliente oponerse por motivos razonables.
Responderá frente al Cliente del cumplimiento de los subencargados.

6. Transferencias internacionales

Cuando un subencargado trate datos fuera del EEE, Ruum garantizará que la transferencia se ampare en un mecanismo válido (decisión de adecuación, Data Privacy Framework o cláusulas contractuales tipo). Ver el Anexo de Subencargados.

7. Seguridad

Ruum aplicará medidas técnicas y organizativas apropiadas conforme al art. 32 del RGPD, descritas en la Política de Seguridad, incluyendo cifrado de credenciales mediante hash, cifrado en tránsito, control de accesos y registros de auditoría.

8. Notificación de violaciones de seguridad

Ruum notificará al Cliente, sin dilación indebida, cualquier violación de la seguridad de los datos personales tratados por cuenta del Cliente de la que tenga constancia, aportando la información razonablemente disponible para que el Cliente cumpla sus obligaciones de notificación.

9. Devolución o supresión de datos

Al finalizar la prestación del Servicio, y a elección del Cliente, Ruum suprimirá o devolverá los datos personales, y eliminará las copias existentes, salvo que la normativa exija su conservación. Las copias de seguridad se eliminarán conforme a su ciclo de rotación.

10. Responsabilidad

La responsabilidad de las partes derivada de este DPA se regirá por lo previsto en los Términos y Condiciones de Uso y por la normativa aplicable.

11. Legislación aplicable

Este DPA se rige por la legislación española y por el RGPD. En caso de conflicto entre este DPA y los Términos respecto del tratamiento de datos por cuenta del Cliente, prevalecerá este DPA.

1. Partes y roles

Responsable del tratamiento: el usuario profesional / empresa que utiliza el Servicio (en adelante, "el Cliente").

Encargado del tratamiento: Daniel Gil Alegre (Ruum), NIF/NIE 71364447R, Calle Ramón Menéndez Pidal 7, 09002 Burgos, privacy@ruum.es.

El Cliente determina los fines y medios del tratamiento de los datos que introduce; Ruum los trata únicamente siguiendo sus instrucciones documentadas (incluidas las derivadas del uso del Servicio).

2. Objeto, duración, naturaleza y finalidad

Objeto: la prestación del Servicio Ruum (gestión de proyectos, presupuestos, clientes, colaboración y funcionalidades asociadas).

Duración: mientras el Cliente use el Servicio, más los plazos de conservación o devolución/supresión posteriores.

Naturaleza y finalidad: alojamiento, almacenamiento, organización, consulta, comunicación y demás operaciones necesarias para prestar el Servicio.

3. Categorías de interesados y de datos

Interesados: clientes del Cliente, colaboradores, destinatarios de presupuestos, miembros del equipo y otros terceros cuyos datos introduzca el Cliente.

Categorías de datos: datos de identificación y contacto, datos profesionales y de empresa, datos de proyectos y presupuestos, y demás datos que el Cliente decida introducir. El Cliente se abstendrá de introducir categorías especiales de datos (art. 9 RGPD) salvo que exista base legítima y se informe a Ruum.

4. Obligaciones de Ruum (encargado)

Ruum se compromete a:

Tratar los datos solo siguiendo las instrucciones documentadas del Cliente, salvo obligación legal (en cuyo caso lo informará, si está permitido).

Garantizar que las personas autorizadas a tratar los datos se han comprometido a la confidencialidad.

Aplicar las medidas de seguridad técnicas y organizativas apropiadas (ver Política de Seguridad).

Respetar las condiciones para recurrir a subencargados (cláusula 5).

Asistir al Cliente, en la medida posible, para atender las solicitudes de ejercicio de derechos de los interesados.

Asistir al Cliente en el cumplimiento de sus obligaciones de seguridad, notificación de brechas y evaluaciones de impacto (arts. 32 a 36 RGPD).

A elección del Cliente, suprimir o devolver los datos al finalizar la prestación, salvo conservación obligatoria por ley.

Poner a disposición del Cliente la información necesaria para demostrar el cumplimiento y permitir auditorías razonables.

Informar al Cliente si, en su opinión, una instrucción infringe la normativa de protección de datos.

5. Subencargados

El Cliente autoriza con carácter general que Ruum recurra a los subencargados enumerados en el Anexo de Subencargados. Ruum:

Impondrá a cada subencargado, mediante contrato, obligaciones de protección equivalentes a las de este DPA.

Informará de los cambios relevantes de subencargados con antelación razonable, permitiendo al Cliente oponerse por motivos razonables.

Responderá frente al Cliente del cumplimiento de los subencargados.