Versión: 1.0 · 10/5/2026
DPA — Acuerdo de encargado de tratamiento
Este Acuerdo de Encargado de Tratamiento (en adelante, el “DPA”) regula las condiciones en las que Casaia, en calidad de encargado del tratamiento, trata por cuenta del cliente, en calidad de responsable del tratamiento, los datos personales necesarios para la prestación del servicio Casaia.
Este DPA forma parte integrante del contrato principal entre las partes y se firma de conformidad con el artículo 28 del Reglamento (UE) 2016/679 (RGPD).
1. Objeto
El cliente encomienda a Casaia el tratamiento de los datos personales descritos en el Anexo I, exclusivamente con la finalidad de prestar el servicio contratado.
2. Duración
Este DPA estará vigente mientras dure la prestación del servicio. Finalizada la relación, Casaia procederá a la devolución o supresión de los datos en un plazo máximo de 30 días naturales, salvo que la legislación aplicable obligue a su conservación.
3. Obligaciones del encargado (Casaia)
- Tratar los datos únicamente conforme a las instrucciones documentadas del responsable.
- Garantizar el deber de confidencialidad de las personas autorizadas a tratar los datos.
- Aplicar las medidas técnicas y organizativas descritas en el Anexo II para garantizar un nivel de seguridad adecuado al riesgo.
- No subcontratar a terceros encargados sin autorización previa (general o específica) del responsable. La autorización general actual cubre los subencargados listados en el Anexo III.
- Asistir al responsable en la atención de los derechos de los interesados, en la realización de evaluaciones de impacto y en notificaciones a la autoridad de control.
- Notificar al responsable, sin dilación indebida, cualquier violación de seguridad de la que tenga conocimiento, dentro de las 72 horas siguientes.
- Poner a disposición del responsable toda la información necesaria para demostrar el cumplimiento del art. 28 RGPD y permitir auditorías razonables.
4. Obligaciones del responsable
- Garantizar que dispone de base jurídica adecuada para el tratamiento de los datos.
- Informar a los interesados sobre el tratamiento y obtener los consentimientos cuando sea necesario.
- Atender los derechos de los interesados, con la asistencia del encargado.
5. Transferencias internacionales
Los datos se almacenan en la Unión Europea. Cuando un subencargado opere fuera del EEE, se aplican las cláusulas contractuales tipo aprobadas por la Comisión Europea (CCT) como garantía adecuada.
6. Anexo I — Datos tratados
- Categorías de interesados: agentes y empleados del cliente; leads del cliente que contactan vía WhatsApp u otros canales conectados.
- Categorías de datos: nombre, número de teléfono, email, idioma, contenido de las conversaciones, preferencias inmobiliarias declaradas (zona, presupuesto, plazos, financiación), identificadores de inmuebles, citas y agendamientos.
- Categorías especiales: ninguna prevista. El cliente se compromete a no introducir intencionadamente datos especialmente protegidos.
7. Anexo II — Medidas de seguridad
- Cifrado en tránsito (TLS 1.3) y en reposo (AES-256).
- Control de acceso basado en roles y autenticación multifactor.
- Registros de auditoría de acceso y modificación.
- Copias de seguridad cifradas y geo-redundantes en la UE.
- Pruebas periódicas de continuidad de negocio.
- Política de mínimo privilegio para personal autorizado.
- Compromiso contractual de no entrenamiento de modelos con datos del cliente, incluido en los acuerdos con proveedores de IA.
8. Anexo III — Subencargados autorizados
| Subencargado | Servicio | Ubicación |
|---|---|---|
| Vercel Inc. | Hosting de la aplicación | UE (Frankfurt) · CCT EE.UU. |
| Neon | Base de datos PostgreSQL | UE |
| Anthropic vía Vercel AI Gateway | Modelos de lenguaje | UE / EE.UU. · CCT · zero data retention |
| Meta Platforms Ireland Ltd. | WhatsApp Business Cloud API | Irlanda (UE) |
| Resend | Email transaccional | EE.UU. · CCT |
| Google Ireland Ltd. | Google Calendar (opcional) | UE · CCT |
Cualquier modificación de la lista de subencargados se notificará al cliente con al menos 30 días de antelación. El cliente podrá oponerse por motivos razonables; en tal caso, las partes negociarán de buena fe una solución y, en su defecto, podrá resolverse el contrato.
9. Solicitud de DPA firmado
Si necesitas una copia firmada de este DPA, escríbenos a legal@casaia.app indicando los datos identificativos de tu empresa. Te respondemos en menos de 24h hábiles.