Skip to content
GoDesk
LEGAL · DPA

Anexo de Procesamiento de Datos

Este DPA se aplica entre upDevTeam LTD (el 'Procesador') y cualquier cliente del servicio GoDesk que, al utilizar el servicio, procesa datos personales de individuos identificables como 'Controlador' bajo GDPR. Se incorpora a los Términos de Servicio por referencia.

Última actualización: 2026-05-06
TL;DR

Si utilizas GoDesk para apoyar a clientes empresariales, empleados o cualquier otra persona identificable, eres el Controlador y nosotros somos el Procesador. Este DPA regula cómo manejamos los datos personales en tu nombre bajo el artículo 28 del GDPR.

Al aceptar nuestros Términos de Servicio también aceptas este DPA. Los clientes empresariales que necesiten un PDF contraparte firmado pueden solicitar uno a info@godeskflow.com.

Contenido
  1. 01Definiciones
  2. 02Alcance y roles
  3. 03Detalles del procesamiento (Artículo 28(3) GDPR)
  4. 04Obligaciones del procesador
  5. 05Subprocesadores
  6. 06Medidas de seguridad
  7. 07Transferencias internacionales
  8. 08Solicitudes de sujetos de datos
  9. 09Incidentes de datos personales
  10. 10Auditorías
  11. 11Devolución y eliminación
  12. 12Responsabilidad
  13. 13Plazo
  14. 14Ley aplicable
  15. 15Contacto

01Definiciones

Los términos en mayúsculas tienen los significados que se les atribuyen en el GDPR. Los siguientes términos tienen los significados que se indican a continuación.

Datos Personales del Cliente
Datos personales que el Cliente o sus usuarios finales transmiten a través de, o almacenan en, el Servicio GoDesk, y que procesamos en nombre del Cliente como Procesador.
GDPR
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 (el Reglamento General de Protección de Datos), y cualquier legislación nacional de implementación, incluyendo el GDPR del Reino Unido.
Procesador
upDevTeam LTD.
Controlador
Cliente.
Sub-procesador
Cualquier procesador de terceros contratado por upDevTeam LTD para procesar Datos Personales del Cliente.
Cláusulas Contractuales Estándar
Las Cláusulas Contractuales Estándar para la transferencia de datos personales a terceros países de conformidad con el GDPR, adoptadas por la Decisión de Ejecución de la Comisión (UE) 2021/914 (Módulo 2 / Módulo 3 según corresponda).

02Alcance y roles

Este DPA se aplica al procesamiento de Datos Personales del Cliente realizados por upDevTeam LTD en nombre del Cliente en el curso de proporcionar el Servicio.

Las partes reconocen que, con respecto a dicho procesamiento, el Cliente es el Controlador y upDevTeam LTD es el Procesador.

upDevTeam LTD también procesa datos como Controlador en relación con sus propias operaciones comerciales (facturación de cuentas, anti-abuso, marketing). La Política de Privacidad describe ese procesamiento.

03Detalles del procesamiento (Artículo 28(3) GDPR)

Objeto
Provision del servicio de escritorio remoto GoDesk al Cliente.
Duración
Mientras el Cliente utilice el Servicio más cualquier período de retención posterior acordado en la sección 11.
Naturaleza y propósito
Alojamiento, transmisión, autenticación, telemetría, soporte y otros procesos necesarios para operar el Servicio.
Categorías de datos
Identificadores de cuenta (correo electrónico, ID de par), metadatos de conexión (marcas de tiempo, IP) y cualquier dato personal que el Cliente decida ingresar en los nombres de dispositivos o metadatos de sesión. El contenido de la sesión está cifrado de extremo a extremo y no es accesible para nosotros como texto plano.
Categorías de sujetos de datos
Usuarios finales del Cliente, empleados, contratistas y cualquier persona cuyos dispositivos sean accedidos a través del Servicio por el Cliente.
Categorías especiales de datos
No recolectados por upDevTeam LTD como Procesador. El Cliente no debe ingresar datos de categorías especiales en nombres de dispositivos o en otros metadatos en texto plano.

04Obligaciones del procesador

upDevTeam LTD deberá:

  • procesar los Datos Personales del Cliente únicamente según las instrucciones documentadas del Cliente, incluidas las establecidas en los Términos y en este DPA, excepto cuando lo exija la ley de la UE o de los estados miembros;
  • asegurar que el personal autorizado para procesar los Datos Personales del Cliente esté sujeto a obligaciones de confidencialidad apropiadas;
  • implementar y mantener las medidas técnicas y organizativas descritas en la sección 6;
  • respetar las condiciones del Artículo 28(2) y (4) GDPR para la contratación de Subprocesadores (sección 5);
  • asistir al Cliente, teniendo en cuenta la naturaleza del procesamiento, en el cumplimiento de sus obligaciones bajo los Artículos 32 a 36 GDPR;
  • poner a disposición toda la información necesaria para demostrar el cumplimiento del Artículo 28 GDPR.

05Subprocesadores

El Cliente autoriza a upDevTeam LTD a contratar los siguientes Subprocesadores:

Supabase, Inc.
Base de datos de cuentas, almacenamiento de autenticación y telemetría. Alojado en la UE.
Hetzner Online GmbH
Cómputo y ancho de banda para relés e infraestructura web (Chipre y Alemania).
Cloudflare, Inc.
DNS, CDN, seguridad perimetral.
Google Ireland Ltd.
Analítica opcional, solo cuando los usuarios finales del Cliente opten por ello a través del banner de cookies.
Stripe Payments Europe Ltd.
Procesamiento de tarjetas para planes de pago.

Daremos al Cliente un aviso de al menos 30 días antes de agregar o reemplazar un Subprocesador publicando el cambio en godeskflow.com/dpa o enviando un correo electrónico al contacto de la cuenta. Si el Cliente objeta razonablemente por motivos de protección de datos, trabajaremos de buena fe para encontrar una solución; si no se puede llegar a un acuerdo, el Cliente puede rescindir el Servicio afectado por conveniencia.

Seguimos siendo responsables ante el Cliente por los actos y omisiones de nuestros Subprocesadores como si fueran nuestros.

06Medidas de seguridad

Implementamos y mantenemos medidas técnicas y organizativas apropiadas al riesgo, incluyendo:

  • TLS 1.3 en tránsito, AES-256-GCM en reposo para copias de seguridad, intercambio de claves X25519 + ED25519 para contenido de sesión cifrado de extremo a extremo;
  • control de acceso basado en roles con predeterminados de privilegio mínimo y autenticación de dos factores obligatoria para el personal;
  • registro de auditoría centralizado de acciones administrativas en sistemas de producción;
  • gestión de vulnerabilidades, escaneo de dependencias y parches de seguridad oportunos;
  • seguridad física delegada a operadores de centros de datos certificados por ISO 27001;
  • procedimiento documentado de respuesta a incidentes con rotación de guardia.

07Transferencias internacionales

Los Datos Personales del Cliente están alojados en el EEE. Cuando la transferencia de los Datos Personales del Cliente fuera del EEE sea necesaria (por ejemplo, cuando esté involucrado un Subprocesador con sede en EE. UU.), las partes incorporan las Cláusulas Contractuales Estándar por referencia, con upDevTeam LTD actuando como 'exportador de datos' para esa transferencia y el Subprocesador como 'importador de datos'.

Cuando el Cliente esté establecido fuera del EEE y los datos personales fluyan de upDevTeam LTD al Cliente, las partes incorporan las SCC (Módulo 4) para la transferencia correspondiente.

Realizamos una evaluación de impacto de la transferencia para cada Subprocesador no perteneciente al EEE y aplicamos medidas suplementarias (cifrado, seudonimización) donde la evaluación las recomiende.

08Solicitudes de sujetos de datos

Si recibimos una solicitud de un sujeto de datos respecto a los Datos Personales del Cliente, no responderemos directamente excepto para confirmar la recepción y dirigir al sujeto de datos hacia el Cliente. Pasaremos la solicitud al Cliente sin demora indebida.

Proporcionaremos asistencia razonable al Cliente en la respuesta a solicitudes de acceso, rectificación, supresión, restricción, portabilidad y oposición, teniendo en cuenta la naturaleza del procesamiento y la información disponible para nosotros. En caso de que la solicitud sea excesiva o manifiestamente infundada, podremos cobrar una tarifa razonable.

09Incidentes de datos personales

Notificaremos al Cliente sin demora indebida y, en cualquier caso, dentro de las 72 horas de enterarnos de un incidente de datos personales que afecte a los Datos Personales del Cliente. La notificación incluirá la información requerida por el Artículo 33(3) del RGPD en la medida de lo conocido, con actualizaciones a medida que avance la investigación.

Cooperaremos con el Cliente para contener, investigar y documentar la brecha, y no haremos ninguna declaración pública al respecto sin el consentimiento previo del Cliente, salvo que sea requerido por la ley.

10Auditorías

Proporcionamos al Cliente la información necesaria para demostrar el cumplimiento del Artículo 28 del RGPD a través de (a) este DPA, (b) el informe de seguridad disponible a solicitud, y (c) los informes de auditoría de terceros más recientes de Subprocesadores relevantes (por ejemplo, informes SOC 2).

Si el Cliente cree razonablemente que los materiales mencionados en la sección 10.1 son insuficientes, el Cliente puede, a su costo y con al menos 30 días de aviso por escrito, auditar nuestro cumplimiento con este DPA no más de una vez al año (excepto en caso de incumplimiento material), siempre que la auditoría (i) se realice durante el horario laboral normal, (ii) no interrumpa nuestras operaciones, (iii) sea realizada por un auditor independiente sujeto a obligaciones de confidencialidad adecuadas, y (iv) no incluya acceso a instalaciones o datos de otros clientes.

Los informes de auditoría son información confidencial de upDevTeam LTD y solo pueden ser compartidos con reguladores y asesores legales bajo confidencialidad.

11Devolución y eliminación

Al finalizar el Servicio, nosotros, a elección del Cliente y dentro de los 30 días posteriores a la fecha de finalización, devolveremos todos los Datos Personales del Cliente en un formato electrónico estructurado o lo eliminaremos de forma segura, excepto en la medida en que la retención sea requerida por la ley de la UE o de un estado miembro.

Las copias de seguridad se eliminarán de acuerdo con nuestra retención estándar de copias de seguridad (actualmente 35 días). Las copias de seguridad permanecen protegidas por las medidas de seguridad en la sección 6 hasta que sean sobrescritas.

12Responsabilidad

La responsabilidad que surja bajo este DPA está regida por la sección de limitación de responsabilidad de los Términos del Servicio.

Donde el Artículo 82 del RGPD asigna responsabilidad entre controladores conjuntos, procesadores y subprocesadores, las partes acuerdan seguir esa asignación estatutaria.

13Plazo

Este DPA entra en vigor en la fecha en que el Cliente acepta los Términos del Servicio y continúa mientras upDevTeam LTD procese Datos Personales del Cliente en nombre del Cliente, más cualquier período de supervivencia necesario para cumplir con las obligaciones bajo las secciones 9, 10 y 11.

14Ley aplicable

Este DPA se rige por las leyes de la República de Chipre, salvo que, donde se apliquen las SCC, la ley aplicable identificada en las SCC prevalece para asuntos dentro del alcance de las SCC.

15Contacto

Las notificaciones bajo este DPA deben enviarse a info@godeskflow.com (asuntos de procesamiento de datos) y a info@godeskflow.com (asuntos de sujeto de datos y autoridad supervisora).

Si necesita una copia firmada de este DPA en el membrete de upDevTeam LTD, escriba a info@godeskflow.com. La versión en inglés de este DPA es la versión controladora.