Panel de acceso
Panel de acceso
Panel de acceso
Panel de acceso

ACUERDO DE ENCARGO DEL TRATAMIENTO DE DATOS (DPA)

Última actualización: 21/01/2026

1. Identificación de las partes

1.1 Responsable del Tratamiento

Persona física o jurídica que contrata y utiliza el servicio Snakelytics (en adelante, el Responsable).

1.2 Encargado del Tratamiento

AARON FERNÁNDEZ FERNÁNDEZ, con NIF 72220764M, domicilio en Barrio la isla n2, Renedo de Piélagos, 39470, Cantabria (España), correo electrónico info@snakelytics.com, titular del servicio Snakelytics (en adelante, el Encargado).

Ambas partes reconocen capacidad legal suficiente y acuerdan el presente Acuerdo de Encargo del Tratamiento conforme al artículo 28 del Reglamento (UE) 2016/679 (RGPD).

2. Objeto del acuerdo

El presente Acuerdo tiene por objeto regular el tratamiento de datos personales que el Encargado realiza por cuenta del Responsable como consecuencia de la prestación del servicio de analítica web y de aplicaciones ofrecido por Snakelytics (el Servicio).

El Servicio se presta a través de snakelytics.com y del panel de gestión disponible en panel.snakelytics.com, así como otros subdominios bajo snakelytics.com necesarios para la prestación del Servicio.

El Encargado se compromete a tratar los datos personales únicamente siguiendo las instrucciones documentadas del Responsable y a no utilizarlos para fines propios.

El presente DPA resulta aplicable con independencia de que el Responsable sea una empresa/profesional o un particular, siempre que utilice Snakelytics para medir el uso de un sitio web o aplicación respecto de usuarios finales.

3. Descripción del tratamiento

La descripción del tratamiento (naturaleza, finalidad, categorías de datos, categorías de interesados, operaciones y duración) se detalla en el ANEXO I.

4. Instrucciones del Responsable

  1. El Encargado tratará los datos personales únicamente conforme a las instrucciones documentadas del Responsable, incluidas las configuraciones seleccionadas en el Servicio (p. ej., modo sin cookies/con cookies, retención, exclusiones, etc.).
  2. Si el Encargado considera que una instrucción infringe el RGPD u otras disposiciones aplicables, lo comunicará al Responsable sin dilación indebida.
  3. El Encargado no está obligado a ejecutar instrucciones manifiestamente ilícitas.

5. Obligaciones del Encargado

El Encargado se compromete a:

a) Tratar los datos personales únicamente conforme a las instrucciones del Responsable.
b) Garantizar que las personas autorizadas para tratar los datos se comprometen a la confidencialidad o están sujetas a una obligación legal equivalente.
c) Aplicar medidas técnicas y organizativas adecuadas para garantizar la seguridad del tratamiento (art. 32 RGPD), descritas en el ANEXO II.
d) No comunicar ni ceder datos a terceros, salvo subencargados autorizados conforme a la cláusula 7.
e) Asistir al Responsable, cuando sea razonablemente posible, en el cumplimiento de los derechos de los interesados.
f) Notificar al Responsable sin dilación indebida cualquier violación de seguridad de los datos personales.
g) No reutilizar los datos para fines propios, comerciales, publicitarios o estadísticos independientes.
h) Asistir al Responsable, cuando proceda, en la realización de evaluaciones de impacto (DPIA) y, en su caso, en la consulta previa a la autoridad de control (art. 35 y 36 RGPD), aportando la información razonablemente disponible sobre el Servicio.

6. Obligaciones del Responsable

El Responsable se compromete a:

a) Garantizar que dispone de una base legal válida para el tratamiento de los datos.
b) Informar adecuadamente a los usuarios finales.
c) Obtener el consentimiento cuando sea legalmente exigible (por ejemplo, modo con cookies).
d) Dar instrucciones lícitas y documentadas al Encargado.
e) Configurar el Servicio de forma coherente con la normativa aplicable y supervisar el tratamiento conforme al presente Acuerdo.

7. Subencargados del tratamiento

7.1 Autorización general

El Responsable autoriza al Encargado a utilizar subencargados necesarios para la prestación del Servicio (p. ej., alojamiento, copias de seguridad, correo o soporte).

7.2 Subencargados actuales

La lista de subencargados utilizados por el Encargado se recoge en el ANEXO III. A la fecha de esta versión, incluye:

  • Arsys Internet, S.L.U. (hosting e infraestructura).
  • Dropbox (copias de seguridad), solo si se utiliza efectivamente para datos del Servicio.

7.3 Obligaciones equivalentes

El Encargado garantiza que los subencargados quedan vinculados por contrato escrito con obligaciones de protección de datos equivalentes a las de este DPA.

7.4 Cambios de subencargados: notificación y oposición

  1. El Encargado notificará al Responsable la incorporación o sustitución de subencargados que puedan afectar al tratamiento.
  2. El Responsable podrá oponerse por motivos razonables y debidamente justificados relacionados con protección de datos dentro de un plazo de 10 días naturales desde la notificación.
  3. En caso de oposición, las partes cooperarán de buena fe para buscar una alternativa razonable. Si no fuese posible, el Responsable podrá resolver el servicio conforme a los Términos aplicables.

7.5 Responsabilidad

El Encargado seguirá siendo responsable frente al Responsable del cumplimiento por parte de los subencargados de sus obligaciones.

8. Medidas técnicas y organizativas

El Encargado implementa medidas adecuadas para garantizar un nivel de seguridad acorde al riesgo, incluyendo, entre otras, las indicadas en el ANEXO II.

9. Transferencias internacionales de datos

El Encargado no realizará transferencias internacionales fuera del EEE salvo que:

a) sea necesario para la prestación del Servicio mediante un subencargado, y
b) se adopten las garantías adecuadas exigidas por el RGPD (por ejemplo, Cláusulas Contractuales Tipo u otros mecanismos válidos), y
c) se informe al Responsable conforme a la cláusula 7.4.

10. Violaciones de seguridad (brechas)

  1. El Encargado notificará al Responsable sin dilación indebida tras tener conocimiento de una violación de seguridad de los datos personales.
  2. La notificación incluirá, cuando sea posible: naturaleza de la brecha, categorías y volumen aproximado de interesados y registros afectados, posibles consecuencias y medidas adoptadas o propuestas para mitigarla.
  3. El Encargado cooperará razonablemente con el Responsable para permitir el cumplimiento de sus obligaciones de notificación ante autoridad de control y/o interesados.

11. Derechos de los interesados

El Encargado asistirá al Responsable, cuando proceda, para permitir el ejercicio de los derechos de acceso, rectificación, supresión, oposición, limitación y portabilidad.

Cuando una solicitud sea recibida directamente por el Encargado, será comunicada al Responsable sin dilación indebida y, salvo instrucción del Responsable, el Encargado no responderá directamente al interesado.

12. Duración y finalización

El presente Acuerdo tendrá la misma duración que la relación contractual entre las partes.

Una vez finalizada dicha relación, el Encargado procederá, a elección del Responsable, a la supresión o devolución de los datos personales tratados por cuenta del Responsable, salvo obligación legal de conservación.

Si existieran copias de seguridad, los datos quedarán sujetos a medidas de seguridad y se eliminarán conforme al ciclo técnico de retención, salvo obligación legal.

13. Demostración de cumplimiento y auditoría

  1. El Encargado pondrá a disposición del Responsable la información razonablemente necesaria para demostrar el cumplimiento de las obligaciones del art. 28 RGPD (por ejemplo, medidas de seguridad, subencargados, políticas de retención).
  2. El Responsable podrá solicitar auditorías razonables relacionadas con el tratamiento con preaviso mínimo de 30 días, limitadas a una vez al año, salvo incidente grave o requerimiento regulatorio.
  3. Para minimizar impacto y proteger la confidencialidad, el Encargado podrá proponer evidencias alternativas equivalentes (cuestionarios, documentación técnica, evidencias de configuración, etc.).

14. Responsabilidad

Cada parte será responsable del incumplimiento de las obligaciones que le correspondan conforme al RGPD y al presente Acuerdo.

15. Legislación aplicable y jurisdicción

El presente Acuerdo se rige por la legislación española y europea en materia de protección de datos. Las partes se someten a los Juzgados y Tribunales del domicilio del Encargado, salvo disposición legal en contrario.

16. Aceptación del acuerdo

El presente Acuerdo se entenderá válidamente aceptado desde el momento en que el Responsable contrate, active o utilice el Servicio, de conformidad con los Términos y Condiciones del Servicio.

Este documento forma parte integrante del marco legal que regula el uso del sitio web snakelytics.com y del Servicio. En caso de contradicción, en lo relativo al tratamiento de datos personales, prevalecerá lo dispuesto en este DPA.

ANEXO I — Descripción del tratamiento

A) Naturaleza y finalidad

Recogida, registro, almacenamiento y análisis de datos de uso con fines estadísticos y de mejora del rendimiento de los sitios web o aplicaciones del Responsable.

B) Tipos de datos personales tratados (según configuración)

  • datos de navegación (páginas visitadas, eventos),
  • información técnica básica (dispositivo, navegador, sistema operativo),
  • país o región aproximada,
  • identificadores técnicos solo en el modo con cookies,
  • dirección IP anonimizada o utilizada únicamente de forma transitoria, sin almacenamiento en claro.

El Servicio no está diseñado para tratar: nombres y apellidos, emails, teléfonos, contenidos de formularios, datos sensibles, grabaciones de pantalla ni mapas de calor.

C) Categorías de interesados

Usuarios finales que visitan los sitios web o aplicaciones del Responsable.

D) Operaciones de tratamiento

Recogida, registro, organización, estructuración, conservación, consulta, análisis, agregación y supresión.

E) Duración / retención

Durante la vigencia del servicio y conforme a la configuración de retención del Responsable y límites técnicos del plan contratado. Tras finalización, devolución/supresión conforme a la cláusula 12.

ANEXO II — Medidas técnicas y organizativas (TOMs)

  • cifrado en tránsito (HTTPS/TLS),
  • cifrado en reposo (según arquitectura),
  • control de accesos y autenticación,
  • separación lógica de datos por cliente,
  • procedimientos de gestión de incidentes y brechas,
  • copias de seguridad y recuperación (si aplica),
  • medidas para minimizar el tratamiento (p. ej., IP no almacenada en claro cuando sea posible).

ANEXO III — Subencargados

  1. Arsys Internet, S.L.U. — Hosting e infraestructura (EEE).
  2. Dropbox — Copias de seguridad (si se utiliza para datos del Servicio). En caso de implicar transferencias fuera del EEE, se aplicarán garantías adecuadas y se informará conforme a la cláusula 7.4.