Acuerdo de Tratamiento de Datos (ATD)
Data Processing Agreement (DPA)
Última actualización: 29 de marzo de 2026
El presente Acuerdo de Tratamiento de Datos (en adelante, "ATD" o "DPA") regula las obligaciones de las partes en materia de protección de datos personales en el contexto de la prestación de los servicios de Zentria Intelligence a sus clientes, de conformidad con el artículo 28 del Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre (LOPDGDD).
Este ATD forma parte integrante de los Términos y Condiciones de Uso de Zentria Intelligence y entra en vigor automáticamente con la aceptación de los mismos.
1. Identificación de las Partes
Responsable del Tratamiento (Cliente)
La persona física o jurídica que contrata los servicios de Zentria Intelligence y que actúa como responsable del tratamiento de los datos personales de sus clientes, empleados y contactos que introduce en la plataforma.
Encargado del Tratamiento (Zentria)
- Marca comercial: Zentria Intelligence
- Titular: Empresario individual / Autónomo
- NIF: 53745679S
- Domicilio: Calle Rodríguez San Pedro 59, 28015 Madrid, España
- Correo: privacidad@zentriaintelligence.com
2. Objeto y Finalidad del Tratamiento
Zentria trata los datos personales que el Responsable introduce en la plataforma única y exclusivamente para prestar los servicios contratados, que incluyen:
- Gestión de agenda y citas (módulo Scheduling)
- Gestión de clientes y pipeline de ventas (módulo CRM)
- Gestión del equipo y trabajadores (módulo Team)
- Catálogo de productos y servicios
- Asistencia mediante agentes de inteligencia artificial
- Portal público de reservas para clientes finales del Responsable
Zentria no tratará los datos para ninguna finalidad distinta de las instruidas por el Responsable.
3. Obligaciones de Zentria como Encargado
Zentria se compromete a:
- Tratar los datos personales únicamente según las instrucciones documentadas del Responsable
- Garantizar que las personas autorizadas para tratar los datos se han comprometido a respetar la confidencialidad
- Aplicar las medidas técnicas y organizativas adecuadas conforme al artículo 32 del RGPD
- No subcontratar ningún tratamiento sin informar previamente al Responsable y obtener su autorización, general o específica
- Asistir al Responsable en el cumplimiento de sus obligaciones respecto a los derechos de los interesados (acceso, rectificación, supresión, portabilidad)
- Notificar al Responsable sin dilación indebida, y en todo caso antes de 72 horas, cualquier violación de seguridad que afecte a los datos tratados
- Suprimir o devolver todos los datos personales al Responsable una vez finalizada la prestación del servicio, a elección del Responsable
- Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el artículo 28 del RGPD
4. Obligaciones del Responsable
El Responsable se compromete a:
- Introducir en la plataforma únicamente datos personales que haya recabado de forma lícita y para los que disponga de base legal para su tratamiento
- Informar a los interesados (clientes, empleados) sobre el tratamiento de sus datos y sobre el uso de Zentria como encargado del tratamiento
- Atender y gestionar las solicitudes de ejercicio de derechos que reciba de los interesados
- Notificar a Zentria cualquier instrucción sobre el tratamiento que pudiera ser contraria al RGPD o normativa aplicable
5. Subencargados del Tratamiento
El Responsable autoriza a Zentria a subcontratar el tratamiento de datos con los siguientes subencargados, todos ellos sujetos a obligaciones equivalentes en materia de protección de datos:
| Elemento | Detalle |
|---|---|
| Objeto del tratamiento | Prestación de los servicios de gestión empresarial de la plataforma Zentria Intelligence |
| Duración | Mientras esté vigente el contrato de servicio entre las partes |
| Naturaleza del tratamiento | Almacenamiento, consulta, modificación y eliminación de datos personales en el contexto de los módulos de la plataforma (CRM, agenda, equipo, productos) |
| Finalidad | Gestión operativa del negocio del Responsable: clientes, citas, equipo, ventas y presencia digital |
| Tipo de datos personales | Nombre, correo electrónico, teléfono, datos de contacto profesional, historial de citas y compras, datos laborales de trabajadores (cargo, departamento, horario, remuneración) |
| Categorías de interesados | Clientes finales del negocio, trabajadores y colaboradores del negocio |
| Subencargados | Supabase Inc. (base de datos), Cloudflare Inc. (CDN), Resend (email transaccional), Ayrshare (redes sociales), Stripe Inc. (pagos) |
Zentria notificará al Responsable con al menos 15 días de antelación cualquier cambio en la lista de subencargados. El Responsable podrá oponerse justificadamente a dichos cambios.
6. Transferencias Internacionales de Datos
Algunos subencargados tienen su sede en Estados Unidos. Estas transferencias están amparadas por las siguientes garantías:
- Supabase Inc. — Cláusulas Contractuales Estándar (CCE) aprobadas por la Comisión Europea
- Google LLC — Marco de Privacidad de Datos UE-EE.UU. (Data Privacy Framework)
- Cloudflare Inc. — Marco de Privacidad de Datos UE-EE.UU. (Data Privacy Framework)
- Resend Inc. — Cláusulas Contractuales Estándar (CCE)
- Ayrshare — Cláusulas Contractuales Estándar (CCE)
- Stripe Inc. — Marco de Privacidad de Datos UE-EE.UU. (Data Privacy Framework)
7. Medidas de Seguridad
Zentria aplica las siguientes medidas técnicas y organizativas para garantizar la seguridad de los datos:
- Cifrado de datos en tránsito mediante TLS 1.2 o superior
- Cifrado de datos en reposo en la base de datos
- Control de acceso mediante Row Level Security (RLS) en base de datos — cada usuario solo accede a los datos de su negocio
- Tokens de integraciones de terceros almacenados en tablas aisladas, accesibles únicamente por servicios internos
- Acceso a sistemas de producción restringido al personal mínimo necesario
- Copias de seguridad periódicas con retención mínima de 7 días
- Revisión periódica de medidas de seguridad
8. Violaciones de Seguridad
En caso de detectar una violación de la seguridad de los datos personales, Zentria:
- Notificará al Responsable sin dilación indebida y, en todo caso, antes de que transcurran 72 horas desde que tenga conocimiento de ella
- Proporcionará información sobre la naturaleza de la violación, las categorías y el número aproximado de interesados y registros afectados, las consecuencias probables y las medidas adoptadas o propuestas
- Cooperará con el Responsable en la notificación a la autoridad de control y, en su caso, a los interesados
9. Derechos de los Interesados
Cuando Zentria reciba directamente solicitudes de ejercicio de derechos de interesados (acceso, rectificación, supresión, portabilidad, oposición o limitación), las redirigirá al Responsable en el plazo de 5 días hábiles, salvo que el Responsable le haya instruido para atenderlas directamente.
Zentria facilitará al Responsable las herramientas necesarias dentro de la plataforma para exportar y eliminar datos de los interesados.
10. Duración y Fin del Tratamiento
Este ATD estará vigente mientras el Responsable mantenga una cuenta activa en Zentria. A la terminación del contrato de servicio:
- El Responsable dispondrá de 30 días para exportar sus datos desde la plataforma
- Transcurrido dicho plazo, Zentria procederá a la eliminación segura de todos los datos del Responsable y sus interesados
- Zentria emitirá un certificado de eliminación si el Responsable lo solicita
11. Ley Aplicable
Este ATD se rige por el Reglamento (UE) 2016/679 (RGPD), la LOPDGDD y la legislación española. Para cualquier controversia, las partes se someten a los Juzgados y Tribunales de Madrid.
Contacto
- 📧 privacidad@zentriaintelligence.com
- 🌐 zentriaintelligence.com