Acuerdo sobre el Tratamiento de Datos (DPA)

Ultimo aggiornamento: 28 de mayo de 2026 · Versione 1.1

Acuerdo sobre el tratamiento de datos personales conforme al art. 28 del Reglamento (UE) 2016/679 (RGPD), entre el Cliente de Verto («Responsable») y Diciassette S.r.l.s. («Encargado»).

Art. 1 — Definiciones

A efectos del presente acuerdo se aplican las siguientes definiciones:

  • RGPD: Reglamento (UE) 2016/679 relativo a la protección de las personas físicas con respecto al tratamiento de datos personales.
  • Datos Personales: cualquier información que se refiera a una persona física identificada o identificable.
  • Tratamiento: cualquier operación o conjunto de operaciones realizadas sobre datos personales.
  • Interesado: la persona física a la que se refieren los datos personales (en este contexto, los huéspedes del Cliente).
  • Subencargado: tercero al que el Encargado encomienda operaciones específicas de tratamiento.
  • Violación de Datos (Data Breach): violación de seguridad que ocasiona, de forma accidental o ilícita, la destrucción, pérdida, modificación, comunicación no autorizada o acceso a datos personales.
  • Contrato Principal: el contrato de servicio entre el Cliente y Diciassette S.r.l.s. para el uso de la plataforma Verto.

Art. 2 — Objeto y Duración

El presente DPA regula el tratamiento de los datos personales efectuado por el Encargado por cuenta del Responsable en el marco de la prestación de los servicios Verto. El acuerdo entra en vigor de forma simultánea al Contrato Principal y mantiene su eficacia durante toda la vigencia del mismo, hasta la completa devolución o supresión de los datos personales.

Art. 3 — Naturaleza y Finalidad del Tratamiento

El Encargado trata los datos personales exclusivamente para las siguientes finalidades, siguiendo instrucciones documentadas del Responsable:

  • Importación y sincronización de reservas
  • Identificación de huéspedes y asociación a la reserva
  • Generación y envío de mensajes automáticos (check-in, check-out, bienvenida)
  • Gestión de las comunicaciones WhatsApp con los huéspedes
  • Procesamiento de mensajes mediante modelos de inteligencia artificial para la generación de respuestas contextuales
  • Conservación del histórico de conversaciones
  • Generación de informes y estadísticas agregadas
  • Prestación de asistencia técnica al Cliente

Art. 4 — Tipos de Datos y Categorías de Interesados

Categorías de interesados

Huéspedes de los alojamientos gestionados por el Cliente a través de la plataforma Verto.

Tipos de datos personales

  • Datos identificativos: nombre, apellidos, idioma preferido
  • Datos de contacto: número de teléfono, email
  • Datos relativos a la reserva: fechas de estancia, número de huéspedes, importe, canal de procedencia, solicitudes especiales
  • Datos de localización: país de procedencia
  • Contenido de las comunicaciones: mensajes WhatsApp intercambiados entre el huésped y el sistema

Art. 5 — Obligaciones del Encargado

El Encargado se compromete a:

  • Tratar los datos personales únicamente conforme a instrucciones documentadas del Responsable
  • Garantizar que las personas autorizadas al tratamiento se hayan comprometido a la confidencialidad
  • Adoptar todas las medidas de seguridad requeridas por el art. 32 del RGPD
  • Respetar las condiciones para el recurso a subencargados (art. 6 del presente acuerdo)
  • Asistir al Responsable en el cumplimiento de las obligaciones relativas a los derechos de los interesados
  • Asistir al Responsable en la realización de evaluaciones de impacto (DPIA) y consultas previas
  • Al término del servicio, devolver o eliminar los datos según las instrucciones del Responsable
  • Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones y permitir auditorías

Art. 6 — Subencargados

El Responsable autoriza con carácter general el recurso a los siguientes subencargados:

  • Meta Platforms Ireland Ltd — WhatsApp Business API, mensajería
  • Twilio Inc. — Infraestructura telefónica y números WhatsApp Business
  • Anthropic PBC — Claude AI, procesamiento del lenguaje natural
  • OpenAI, LLC — GPT, procesamiento del lenguaje natural
  • Stripe, Inc. — Gestión de pagos
  • Proveedores de hosting/cloud — Infraestructura y almacenamiento

El listado actualizado de subencargados está disponible en la página Subprocesadores. El Encargado informa al Responsable de cualquier modificación con un preaviso mínimo de 15 días. El Responsable tiene derecho a oponerse a la designación de un nuevo subencargado dentro de los 15 días siguientes a la comunicación.

Art. 7 — Medidas de Seguridad

Medidas técnicas

  • Cifrado de los datos en tránsito (TLS 1.2+) y en reposo (AES-256)
  • Control de accesos basado en roles (RBAC)
  • Autenticación de múltiples factores (MFA) para el acceso a los sistemas

Medidas organizativas

  • Formación periódica del personal en protección de datos
  • Procedimientos documentados de gestión de incidentes
  • Revisión periódica de las autorizaciones de acceso

Art. 8 — Transferencias Internacionales

Las transferencias de datos personales a países terceros (en particular Estados Unidos) se realizan sobre la base del EU-US Data Privacy Framework y/o de las Cláusulas Contractuales Tipo (CCT) adoptadas por la Comisión Europea.

Los datos personales de los huéspedes no se utilizan para el entrenamiento (training) de los modelos de inteligencia artificial. Los datos anonimizados y agregados pueden utilizarse para la mejora del servicio.

Art. 9 — Data Breach

En caso de violación de datos personales, el Encargado notifica al Responsable sin dilación indebida y, en todo caso, dentro de las 48 horas desde el momento en que tenga conocimiento de la misma, facilitando toda la información necesaria para permitir al Responsable cumplir con sus obligaciones de notificación conforme a los arts. 33 y 34 del RGPD.

Art. 10 — Derechos de los Interesados

El Encargado asiste al Responsable, con medidas técnicas y organizativas adecuadas, en el cumplimiento de la obligación de dar respuesta a las solicitudes de los interesados para el ejercicio de los derechos previstos en el Capítulo III del RGPD (acceso, rectificación, supresión, limitación, portabilidad, oposición).

Art. 11 — Auditoría

El Encargado pone a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones previstas en el presente acuerdo y permite auditorías e inspecciones con un preaviso mínimo de 30 días. El Responsable acepta que informes de certificación independientes (SOC 2, ISO 27001) puedan utilizarse como prueba de cumplimiento.

Art. 12 — Devolución y Eliminación de los Datos

Al término del Contrato Principal, el Responsable puede solicitar la devolución de los datos dentro de 30 días. En ausencia de solicitud, los datos serán eliminados en 60 días desde la finalización del servicio, salvo obligaciones de conservación previstas por la ley.

Art. 13 — Responsabilidad

La responsabilidad total del Encargado derivada o relacionada con el presente DPA está limitada a los importes efectivamente abonados por el Responsable en los 12 meses anteriores al evento que ha dado lugar a la responsabilidad.

Art. 14 — Obligaciones del Responsable

El Responsable garantiza haber obtenido todos los consentimientos necesarios y disponer de una base jurídica válida para el tratamiento de los datos personales de los huéspedes. El Responsable se compromete a facilitar instrucciones conformes con la normativa vigente.

Art. 15 — Disposiciones Finales

El presente DPA se rige por la ley italiana. Para cualquier controversia derivada del presente acuerdo será competente en exclusiva el Foro de Modena (Italia).