Acuerdo de tratamiento de datos

Última actualización: 2026-05-11

Este Acuerdo de tratamiento de datos («DPA») forma parte e integra los Términos del servicio de Quotably. Se aplica siempre que usted, como usuario de Quotably («Cliente»), introduzca, almacene o procese datos personales de sus propios clientes, destinatarios o contactos («Datos personales del Cliente») a través del servicio Quotably. En esa actividad, el Cliente actúa como responsable del tratamiento (o figura análoga conforme a la normativa aplicable) y Quotably actúa como encargado del tratamiento / prestador de servicios / contratista.

1. Partes

Este DPA se celebra entre Ramón Carmenaty (autónomo, NIF Y9958619R, domicilio registrado/profesional: Pintor López Mezquita, 9 3B, 18002 Granada, España), operador de Quotably («Quotably», «nosotros»), y el Cliente que ha aceptado los Términos del servicio de Quotably. El DPA entra en vigor cuando el Cliente acepta los Términos del servicio o introduce por primera vez Datos personales del Cliente en el servicio, lo que ocurra primero.

2. Definiciones

Los términos en mayúscula no definidos aquí tienen el significado dado en los Términos del servicio o en la normativa aplicable de protección de datos. «RGPD» significa el Reglamento (UE) 2016/679. «CCT UE» significa las cláusulas contractuales tipo adoptadas por la Decisión de Ejecución (UE) 2021/914 de la Comisión. «Normativa aplicable» significa el RGPD UE/UK, la LOPDGDD española, la CCPA/CPRA y cualquier otra ley de privacidad o protección de datos aplicable al tratamiento de los Datos personales del Cliente.

3. Objeto y duración

Objeto: Quotably trata los Datos personales del Cliente exclusivamente para prestar y dar soporte al servicio Quotably (generación de presupuestos, enlaces públicos de presupuesto, envío de correos transaccionales, facturación y seguridad). Duración: este DPA aplica mientras Quotably trate Datos personales del Cliente por cuenta del Cliente, y subsiste tras la terminación de los Términos del servicio en lo necesario para dar efecto a las obligaciones de eliminación/devolución.

4. Naturaleza, finalidad y alcance del tratamiento

Naturaleza del tratamiento: recogida, almacenamiento, organización, recuperación, transmisión y eliminación de los Datos personales del Cliente a través del servicio Quotably.

Finalidad: permitir al Cliente crear, enviar, almacenar y gestionar presupuestos para sus propios clientes finales; entregar correos transaccionales (por ejemplo, envío de presupuestos); proporcionar enlaces públicos de presupuesto; soporte a la facturación; mantenimiento de la seguridad del servicio.

Categorías de datos personales: nombre, correo electrónico, teléfono, nombre comercial (si lo hay), datos del evento (fecha, tipo, ubicación), contenido del presupuesto, recursos de marca subidos por el Cliente y metadatos de acceso (IP/agente de usuario de los visitantes de enlaces públicos para la prevención de abuso).

Categorías de interesados: clientes finales del Cliente, destinatarios de presupuestos y visitantes de los enlaces públicos de presupuesto.

5. El encargado actúa solo siguiendo instrucciones documentadas

Quotably tratará los Datos personales del Cliente únicamente conforme a las instrucciones documentadas del Cliente, incluidas las recogidas en los Términos del servicio, este DPA y las que se deriven del uso del servicio por parte del Cliente. Quotably informará al Cliente si, a su juicio, una instrucción infringe la Normativa aplicable. Quotably no tratará los Datos personales del Cliente con fines propios, no venderá ni compartirá los Datos personales del Cliente y no los utilizará para publicidad comportamental cruzada.

6. Confidencialidad

Quotably garantiza que toda persona autorizada a tratar Datos personales del Cliente está sujeta a una obligación adecuada de confidencialidad (ya sea contractual o por deber legal).

7. Medidas de seguridad (art. 32 RGPD)

Quotably aplica medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad apropiado al riesgo. Incluyen:

  • Cifrado en tránsito (TLS 1.2+) para todos los endpoints de cara al cliente y la comunicación con subencargados.
  • Cifrado en reposo para la base de datos de la aplicación (Neon) y el almacenamiento de objetos (Vercel Blob).
  • Controles de acceso basados en roles y principio de mínimo privilegio para sistemas de producción y almacenes de datos.
  • Autenticación robusta para administradores y operadores, con credenciales únicas y caducidad de sesión.
  • Registro de auditoría de acciones administrativas y eventos relevantes para la seguridad; los registros se revisan periódicamente.
  • Gestión centralizada de secretos; los secretos no se incrustan en el control de versiones.
  • Revisión periódica de las prácticas de seguridad y los DPA de los subencargados.
  • Copias de seguridad cifradas de la base de datos de producción; las copias se sobrescriben según un calendario de retención definido.
  • Proceso documentado de respuesta a incidentes y notificación de brechas.

8. Subencargados del tratamiento

El Cliente autoriza a Quotably a contratar a los subencargados enumerados en la Política de privacidad (Stripe, Resend, Neon, Vercel) y a cualquier subencargado futuro necesario para prestar el servicio. Cada subencargado está sujeto a obligaciones de protección de datos no menos protectoras que las de este DPA. Quotably notificará al Cliente con un preaviso razonable cualquier nuevo subencargado actualizando la Política de privacidad y, cuando sea relevante, mediante correo electrónico a la dirección registrada de la cuenta. El Cliente podrá oponerse a un nuevo subencargado por motivos razonables de protección de datos; si las partes no resuelven la objeción, el Cliente podrá rescindir el servicio afectado por conveniencia.

Lista actual de subencargados (Política de privacidad)

9. Asistencia con los derechos de los interesados

Quotably asistirá al Cliente, teniendo en cuenta la naturaleza del tratamiento y la información disponible, en el cumplimiento de sus obligaciones de respuesta a las solicitudes de los interesados que ejerzan sus derechos conforme a los arts. 15–22 del RGPD (o derechos análogos bajo otra Normativa aplicable). El Cliente sigue siendo responsable de verificar la identidad de los solicitantes y de la licitud de cualquier instrucción. Cuando Quotably reciba una solicitud directa de un interesado relativa a Datos personales del Cliente, lo notificará sin demora al Cliente y no responderá directamente, salvo para acusar recibo o redirigir al solicitante.

10. Notificación de brechas de datos personales

Quotably notificará al Cliente sin dilación indebida (y, en cualquier caso, dentro de las 72 horas desde que tenga conocimiento) cualquier brecha de datos personales que afecte a los Datos personales del Cliente. La notificación incluirá, en la medida de lo conocido, la naturaleza de la brecha, las categorías y el número aproximado de interesados y registros afectados, las consecuencias probables y las medidas adoptadas o propuestas para abordarla y mitigar sus efectos. Quotably prestará al Cliente una cooperación razonable para que pueda cumplir con sus propias obligaciones de notificación.

11. Transferencias internacionales

Los Datos personales del Cliente se alojan principalmente en Estados Unidos (Neon, Vercel) y son procesados por otros subencargados conforme se describe en la Política de privacidad. Para transferencias desde el EEE, el Reino Unido o Suiza a un país sin decisión de adecuación, las partes se basan en las CCT UE (Módulo 2: responsable a encargado y Módulo 3: encargado a encargado, según corresponda), con la cláusula adicional de transferencia internacional de datos del Reino Unido y su equivalente suizo cuando proceda. Las CCT UE se incorporan a este DPA por referencia y se aplican automáticamente cuando lo exija la Normativa aplicable. El Cliente puede solicitar copia de las garantías de transferencia ejecutadas (o una descripción suficiente para demostrar el cumplimiento) escribiendo a support@quotably.app.

12. Eliminación o devolución al término

Al término de los Términos del servicio o a solicitud por escrito del Cliente, Quotably, a elección del Cliente, eliminará o devolverá todos los Datos personales del Cliente y eliminará las copias existentes, salvo que la conservación sea exigida por la Normativa aplicable o por finalidades legítimas del negocio como impuestos, contabilidad, prevención del fraude, seguridad o reclamaciones legales. Las copias de seguridad que contengan Datos personales del Cliente se sobrescriben según el calendario de retención definido. La eliminación también puede iniciarse en la app en Ajustes → Cuenta → Eliminar cuenta.

13. Auditorías e información

Quotably pondrá a disposición del Cliente toda la información razonablemente necesaria para acreditar el cumplimiento de este DPA y de la Normativa aplicable, y permitirá y contribuirá a auditorías, incluidas inspecciones, realizadas por el Cliente o por un auditor independiente acordado por ambas partes. Las auditorías deben realizarse con un preaviso por escrito de al menos 30 días, no más de una vez cada 12 meses (salvo cuando lo requiera un regulador o en relación con un incidente de seguridad), durante el horario laboral habitual, de manera que no perturbe injustificadamente las operaciones de Quotably, y bajo obligaciones de confidencialidad. Cuando proceda, Quotably podrá cumplir con sus obligaciones de auditoría facilitando informes o atestaciones de seguridad de terceros emitidos por sus subencargados.

14. Cláusulas de privacidad de estados de EE. UU.

Para los Datos personales del Cliente sujetos a leyes de privacidad de estados de EE. UU., Quotably actúa como prestador de servicios (CCPA/CPRA), encargado (Colorado, Connecticut, Virginia, Texas, Utah y otras leyes comparables) o contratista, según corresponda, y:

  • No venderá ni compartirá Datos personales del Cliente en el sentido de la CCPA/CPRA.
  • No conservará, usará ni divulgará Datos personales del Cliente fuera de la relación comercial directa entre Quotably y el Cliente, ni con fines distintos de la prestación del servicio.
  • No combinará los Datos personales del Cliente con información personal recibida de otra fuente, salvo cuando lo permita la Normativa aplicable.
  • Cumplirá con las obligaciones aplicables a prestadores de servicios, encargados o contratistas y asistirá al Cliente en la respuesta a las solicitudes de derechos del consumidor recibidas conforme a esas leyes.
  • Notificará al Cliente si determina que ya no puede cumplir con estas obligaciones y permitirá al Cliente adoptar medidas razonables para detener y remediar cualquier uso no autorizado.

15. Responsabilidad

La responsabilidad de cada parte conforme a este DPA queda sujeta a la cláusula de limitación de responsabilidad de los Términos del servicio. Nada en este DPA limita la responsabilidad de cualquiera de las partes de un modo no permitido por la Normativa aplicable, incluyendo el fraude, el dolo o cualquier responsabilidad que no pueda excluirse conforme a la normativa de protección de datos.

16. Ley aplicable

Este DPA se rige por la legislación española. Las controversias quedan sujetas a la jurisdicción exclusiva de los tribunales españoles, sin perjuicio de las normas imperativas de protección de datos y de la jurisdicción de la autoridad de control en el país de residencia habitual del interesado.

17. Aceptación

Este DPA se considera aceptado por el Cliente cuando el Cliente acepta los Términos del servicio o introduce por primera vez Datos personales del Cliente en el servicio. El Cliente no necesita firmar un documento separado. Una contraparte firmada de este DPA está disponible a petición escribiendo a support@quotably.app.