Contrato de encargo del tratamiento (DPA)

1. Partes

Cliente (responsable del tratamiento): la persona física o jurídica que registra una cuenta Clozo y carga/transmite datos personales de terceros (p. ej. clientes, leads, contactos) al servicio.

Encargado del tratamiento: Andrei Diachenko, autónomo operando bajo el nombre comercial Clozo, Calle Covera 19, 5A, 33012 Oviedo, Asturias, España. NIF Z1579875X · IVA UE ESZ1579875X.

2. Objeto y duración (art. 28(3) preámbulo)

Objeto: el tratamiento de datos personales necesario para prestar el servicio Clozo (generación de propuestas, firma electrónica, emisión y envío de facturas, cobro a través de Stripe, asistencia opcional de texto con IA, generación opcional de formatos de factura electrónica). Duración: desde la creación de la cuenta hasta 30 días después del cierre de la cuenta o el vencimiento del plazo de conservación legal aplicable más largo bajo derecho UE/EM (lo que ocurra más tarde).

3. Naturaleza y finalidad del tratamiento (art. 28(3)(a))

Naturaleza: almacenamiento, transmisión, transformación (p. ej. renderizado PDF, generación XML) y tratamiento automatizado limitado (mejora de texto con IA con scrubbing de PII, como función principal del servicio — base legal Art. 6(1)(b) RGPD). Finalidad: permitir al Cliente operar su actividad freelance/PYME a través de Clozo. Clozo trata datos personales solo siguiendo instrucciones documentadas del Cliente, incluidas las transferencias a terceros países, salvo obligación impuesta por derecho de la Unión o de un Estado miembro al que Clozo esté sujeto; en tal caso, Clozo informará al Cliente de tal obligación antes del tratamiento, salvo prohibición legal por motivos importantes de interés público.

4. Tipos de datos y categorías de interesados (art. 28(3))

Tipos de datos personales: identificación (nombre, correo), comerciales (razón social, NIF/CIF, dirección, IBAN/BIC), financieros (importes de facturas, metadatos de pago vía Stripe), comunicación (contenido de correos, transcripciones opcionales del chat Crisp), técnicos (IP vía Cloudflare, user-agent, idioma del navegador). Categorías de interesados: clientes del Cliente, leads, contactos de facturación y destinatarios finales de los documentos generados por Clozo. No se tratan habitualmente categorías especiales de datos (art. 9).

5. Obligaciones y derechos del responsable (art. 28(3)(d))

El Cliente es responsable de (a) disponer de base legal para recoger y subir datos personales a Clozo, (b) facilitar a los interesados la información requerida por el art. 13/14, (c) atender las solicitudes de derechos dirigidas al Cliente, (d) garantizar la exactitud y actualidad de los datos cargados, (e) mantener su propio Registro de Actividades de Tratamiento bajo el art. 30, (f) configurar los ajustes de Clozo (p. ej. preferencias de conservación, opt-in IA) de forma coherente con sus decisiones de base legal.

6. Confidencialidad (art. 28(3)(b))

Clozo garantiza que las personas autorizadas a tratar los datos personales se han comprometido a respetar la confidencialidad o están sujetas a una obligación legal apropiada de confidencialidad. La única persona con acceso operativo actualmente es el autónomo (Andrei Diachenko); empleados, contratistas o personal de subencargados (Stripe, Cloudflare, Resend, etc.) están obligados por sus respectivos NDAs y DPAs.

7. Medidas de seguridad (art. 28(3)(c) + art. 32)

Clozo aplica medidas técnicas y organizativas (MTO) adecuadas al riesgo, entre ellas: TLS 1.3 en tránsito; cifrado equivalente a AES-256 en reposo (Postgres en Railway UE, R2 en Cloudflare UE); autenticación JWT con rotación de refresh token; rate-limiting en endpoints de auth; copias de seguridad cifradas diarias; detección de incidentes vía Sentry; rotación trimestral de secretos; principio de mínimo privilegio en el acceso a Railway; separación de entornos staging/producción. MTO detalladas a petición a legal@useclozo.com.

8. Subencargados (art. 28(2) + (4))

El Cliente autoriza a Clozo a contratar los subencargados listados en el registro público en /subprocessors. Clozo avisa al Cliente con al menos 30 días de antelación de cualquier incorporación o sustitución prevista mediante el mecanismo de notificación descrito en /subprocessors (suscripción por email, canal RSS). El Cliente puede oponerse a un nuevo subencargado contactando con privacy@useclozo.com dentro del plazo de aviso; si no se alcanza una solución aceptable, el Cliente puede resolver este DPA y la suscripción subyacente. Clozo impone a cada subencargado las mismas obligaciones de protección de datos que las establecidas en este DPA, en particular garantías suficientes para aplicar MTO adecuadas.

9. Asistencia a los derechos de los interesados (art. 28(3)(e))

Clozo proporciona endpoints de autoservicio en el panel del Cliente (Ajustes → Privacidad) para apoyar al Cliente al responder a solicitudes de los interesados bajo los art. 15-22, incluyendo exportación de datos (art. 20), supresión (art. 17) con ventana de cancelación de 14 días y rectificación (art. 16). Para solicitudes que excedan el autoservicio, Clozo presta asistencia adicional, previa petición a privacy@useclozo.com, en plazo razonable y sin coste adicional, limitada a recuperar o eliminar datos a los que el Cliente no pueda acceder por sí mismo.

10. Notificación de violaciones (art. 28(3)(f) + art. 33)

Clozo notificará al Cliente sin dilación indebida, en todo caso dentro de las 72 horas, tras tener conocimiento de una violación de datos personales que afecte a los datos del Cliente. La notificación describirá, como mínimo, la naturaleza de la violación, las categorías y números aproximados de interesados y registros afectados, las consecuencias probables y las medidas adoptadas o propuestas. Clozo coopera con las obligaciones del Cliente de notificación a la autoridad de control e interesados bajo los art. 33 y 34.

11. Supresión o devolución de datos personales (art. 28(3)(g))

Al terminar la suscripción subyacente, Clozo, a elección del Cliente, suprime o devuelve todos los datos personales tras el fin de la prestación y elimina las copias existentes, salvo que el derecho de la Unión o de un Estado miembro exija su conservación (p. ej. conservación fiscal de facturas según la Directiva 2006/112/CE art. 244-247: mínimo 6 años en NL, 10 años en DE, 8 años en PL). Cuando se aplique una conservación legal, Clozo aísla los datos retenidos, limita el acceso a lo estrictamente necesario y elimina los datos al finalizar el plazo.

12. Contacto y auditorías (art. 28(3)(h))

Para cualquier cuestión relacionada con el DPA, solicitudes de auditoría o derechos de los interesados: privacy@useclozo.com. Clozo pone a disposición del Cliente toda la información necesaria para demostrar el cumplimiento de las obligaciones del art. 28 RGPD y permite y contribuye a auditorías —incluidas inspecciones— realizadas por el Cliente o por un auditor designado por el Cliente, con sujeción a un preaviso razonable (30 días) y a un compromiso de confidencialidad.