El acceso anticipado abre pronto — oferta especial de lanzamiento.

Acuerdo de Tratamiento de Datos

Acuerdo del art. 28 RGPD que regula cómo Syncek trata los datos personales por cuenta tuya.

Última actualización: 20 de abril de 2026

Este Acuerdo de Tratamiento de Datos («DPA») complementa los Términos y Condiciones («Contrato») entre Syncek SL («Syncek», «Encargado») y tú o la organización que representas («Cliente», «Responsable»). Se acepta en régimen electrónico (click-through) al aceptar los Términos: al celebrar el Contrato, celebras también este DPA respecto de los Datos de cliente que constituyan información personal conforme a la legislación aplicable. Puedes solicitar una versión firmada en PDF escribiendo a legal@syncek.com; la versión click-through y la firmada son jurídicamente equivalentes.

Este DPA se redacta para cumplir el art. 28 del Reglamento (UE) 2016/679 (RGPD), el art. 28 del UK GDPR y la Ley Federal Suiza de Protección de Datos (FADP). En caso de conflicto entre este DPA y el Contrato, prevalece este DPA en lo relativo al tratamiento de información personal.

1. Definiciones

Los términos en mayúsculas no definidos aquí tienen el significado de los Términos y Condiciones. Adicionalmente:

  • Legislación Aplicable de Protección de Datos significa el RGPD, el UK GDPR, la FADP suiza, la Ley Orgánica 3/2018 (LOPDGDD), y cualquier otra legislación de protección de datos aplicable al tratamiento de información personal bajo el Contrato.
  • Datos Personales del Cliente significa la información personal (en el sentido de la Legislación Aplicable) contenida en los Datos de cliente y tratada por Syncek por cuenta del Cliente bajo el Contrato.
  • Interesado, Responsable, Encargado, Subencargado, Violación de Datos Personales y Autoridad de Control tienen el significado del art. 4 RGPD.
  • Cláusulas Tipo UE significa las Cláusulas Contractuales Tipo aprobadas por la Decisión de Ejecución (UE) 2021/914.
  • IDTA del Reino Unido significa el Addendum británico a las Cláusulas Tipo UE emitido por el ICO conforme al art. 119A de la UK Data Protection Act 2018.

2. Roles y alcance

Respecto de los Datos Personales del Cliente tratados bajo el Contrato, el Cliente es el Responsable y Syncek es el Encargado. El Cliente determina los fines y los medios del tratamiento y sigue siendo responsable de la base jurídica, de la información al interesado y de los derechos de los interesados cuyos datos sube.

3. Duración, naturaleza, finalidad y categorías de datos

  • Duración. Este DPA se aplica mientras esté vigente el Contrato y durante cualquier periodo adicional en que Syncek conserve Datos Personales del Cliente conforme a la Sección 9.
  • Naturaleza y finalidad del tratamiento. Alojar, almacenar, organizar, estructurar, consultar, adaptar, transmitir, copiar y suprimir los Datos Personales del Cliente para prestar el Servicio (plataforma CRM) al Cliente.
  • Categorías de Interesados. Contactos, leads, prospectos, clientes, proveedores, socios, empleados y cualquier otra persona física cuya información suba el Cliente a su workspace de Syncek; y el personal del propio Cliente (miembros del workspace).
  • Categorías de Datos Personales del Cliente. Nombres, correos electrónicos, teléfonos, direcciones postales, empresa, cargo, información de oportunidades/pipeline, registros de actividad y comunicación, notas, archivos subidos y cualquier campo personalizado configurado por el Cliente. Contractualmente el Cliente no puede subir datos de categorías especiales (art. 9 RGPD), PHI de EE. UU., números de tarjeta PCI más allá del alcance de Stripe ni datos de menores (ver la Política de Uso Aceptable).

4. Obligaciones de Syncek como Encargado (art. 28.3 RGPD)

  • Instrucciones documentadas. Syncek tratará los Datos Personales del Cliente únicamente siguiendo las instrucciones documentadas del Cliente, incluidas las recogidas en el Contrato, en la configuración del Servicio y en instrucciones escritas posteriores — salvo que la ley de la UE o de un Estado miembro le obligue a otra cosa, en cuyo caso Syncek informará al Cliente de esa exigencia legal antes del tratamiento, salvo que la ley lo prohíba.
  • Confidencialidad. Syncek garantiza que las personas autorizadas a tratar Datos Personales del Cliente están sujetas a obligaciones de confidencialidad.
  • Seguridad. Syncek implementa las medidas técnicas y organizativas descritas en el Anexo II (Sección 12 abajo) para garantizar un nivel de seguridad adecuado al riesgo (art. 32 RGPD).
  • Subencargados. Sección 5.
  • Asistencia en el ejercicio de derechos. Considerando la naturaleza del tratamiento, Syncek asiste al Cliente proporcionando funcionalidades que le permitan atender las solicitudes de los interesados (acceso, rectificación, supresión, limitación, portabilidad, oposición) — principalmente, herramientas de exportación y eliminación en el Servicio. Cuando una funcionalidad no sea suficiente, Syncek asistirá por otros medios razonables previa solicitud por escrito.
  • Asistencia en EIPDs y consultas a la Autoridad de Control. A petición, Syncek asistirá al Cliente conforme a los arts. 32–36 RGPD teniendo en cuenta la información disponible.
  • Notificación de brechas. Syncek notificará al Cliente sin dilación indebida y, cuando sea factible, en un plazo de cuarenta y ocho (48) horas tras tener constancia de una Violación de Datos Personales que afecte a los Datos Personales del Cliente, facilitando la información razonablemente necesaria para que el Cliente cumpla sus propias obligaciones de notificación conforme a los arts. 33–34 RGPD.
  • Supresión o devolución. Al terminar el Contrato, Syncek suprimirá los Datos Personales del Cliente de los sistemas de producción con prontitud y de las copias de seguridad rutinarias en un plazo de treinta (30) días, salvo que la ley exija su conservación. El Cliente puede exportar sus datos del Servicio antes de la supresión.
  • Auditoría. Syncek pondrá a disposición del Cliente la información necesaria para demostrar el cumplimiento del art. 28 RGPD. Previa solicitud razonable por escrito y no más de una vez al año (salvo confirmación de una Violación de Datos Personales), el Cliente o un auditor independiente mandatado por el Cliente podrán auditar el cumplimiento de Syncek; Syncek podrá satisfacer el derecho de auditoría aportando informes de auditoría de terceros o cuestionarios de seguridad vigentes.

5. Subencargados (art. 28.2–4 RGPD)

El Cliente otorga una autorización general por escrito a Syncek para contratar a los subencargados enumerados en nuestra página de Subencargados, junto con cualquier subencargado adicional que Syncek notifique conforme a esta Sección.

Antes de contratar un nuevo subencargado o reemplazar uno existente, Syncek actualizará la lista de subencargados y avisará con al menos treinta (30) días de antelación. El Cliente puede oponerse por motivos razonables de protección de datos mediante comunicación escrita a legal@syncek.com dentro de esa ventana. Si las partes no pueden acordar una solución, el Cliente puede terminar el Servicio afectado mediante aviso escrito, y Syncek reembolsará cualquier tarifa pagada por adelantado por servicios no prestados en la parte terminada.

Syncek impone a cada subencargado obligaciones de protección de datos equivalentes en sustancia a las de este DPA y sigue siendo responsable frente al Cliente por los actos y omisiones de sus subencargados como si fueran propios.

6. Transferencias internacionales (Capítulo V RGPD)

Los Datos Personales del Cliente se almacenan principalmente en la Unión Europea. Cuando sean necesarias transferencias a terceros países para prestar el Servicio:

  • Marco de Privacidad de Datos UE-EE. UU. Cuando el destinatario esté certificado en el DPF, la transferencia se realiza al amparo de la Decisión de adecuación de la Comisión de 10 de julio de 2023.
  • Cláusulas Tipo UE. Cuando no aplique el DPF y el destinatario esté fuera del EEE o de un país con decisión de adecuación, las partes celebran por el presente el Módulo Dos (Responsable-a-Encargado) de las Cláusulas Tipo UE, que se incorpora por referencia y se completa así: (i) Cláusula 7 (docking) incluida; (ii) Cláusula 9 opción 2 (autorización general) con 30 días de preaviso; (iii) Cláusula 11 opción: no se designa órgano independiente; (iv) Cláusula 17 ley aplicable: España; (v) Cláusula 18 foro: tribunales de Valencia, España; (vi) Anexo I.A: partes (Cliente exportador, Syncek importador); (vii) Anexo I.B: Sección 3 de este DPA; (viii) Anexo I.C: autoridad competente AEPD; (ix) Anexo II: Sección 12 de este DPA; (x) Anexo III: lista de subencargados en nuestra página de Subencargados.
  • IDTA Reino Unido. Para transferencias sujetas al UK GDPR, las partes celebran el IDTA, que modifica las Cláusulas Tipo UE para cumplir el Derecho británico.
  • FADP suiza. Para transferencias sujetas al Derecho suizo, las referencias al RGPD en las Cláusulas Tipo UE se entienden hechas a la FADP, la autoridad competente es la FDPIC, y las cláusulas protegen los derechos de los residentes suizos.
  • Medidas complementarias. TLS en tránsito, cifrado en reposo, control de acceso basado en roles, registros de auditoría, y evaluaciones de impacto de transferencia cuando sean exigibles.

7. Solicitudes de interesados

Si Syncek recibe una solicitud de un Interesado relativa a Datos Personales del Cliente, sin dilación indebida informará al Interesado de que el Cliente es el Responsable y le remitirá la solicitud al Cliente, salvo que la Legislación Aplicable de Protección de Datos lo prohíba.

8. Obligaciones del Cliente

El Cliente declara y se compromete a que:

  • ha establecido, y mantendrá durante la vigencia del Contrato, una base jurídica para el tratamiento conforme al art. 6 RGPD (y, en su caso, a los arts. 9–10 RGPD);
  • ha facilitado la información de transparencia exigida por los arts. 13–14 RGPD a los Interesados;
  • sus instrucciones a Syncek cumplirán en todo momento la Legislación Aplicable de Protección de Datos; y
  • no subirá Datos Personales del Cliente cuyo tratamiento no esté autorizado por el Contrato o por la Política de Uso Aceptable.

9. Devolución y supresión

Durante el Contrato, el Cliente puede exportar en cualquier momento sus Datos Personales o eliminar objetos del workspace usando las herramientas del producto. Al terminar o expirar el Contrato, Syncek suprimirá los Datos Personales del Cliente de los sistemas de producción en un plazo razonable (normalmente treinta (30) días) y de las copias de seguridad rutinarias en un plazo adicional de treinta (30) días, salvo que la ley de la UE o de un Estado miembro exija su conservación, en cuyo caso Syncek aislará y protegerá los datos hasta su supresión.

10. Responsabilidad

La responsabilidad de cada parte bajo este DPA está sujeta al límite agregado de responsabilidad del Contrato. Nada en este DPA limita la responsabilidad que no pueda excluirse conforme a la Legislación Aplicable de Protección de Datos, incluida la responsabilidad de cualquiera de las partes frente a los Interesados conforme al art. 82 RGPD.

11. Ley aplicable; orden de prelación; terminación

Este DPA se rige por la legislación española. Los tribunales de Valencia, España tienen jurisdicción exclusiva, con la salvedad del consumidor prevista en los Términos y Condiciones. En caso de conflicto entre este DPA y las Cláusulas Tipo UE, prevalecen las Cláusulas Tipo UE; en caso de conflicto entre este DPA y el Contrato, prevalece este DPA en lo relativo al tratamiento de información personal. Este DPA se resuelve automáticamente con la terminación del Contrato, sin perjuicio de las obligaciones que por su naturaleza subsistan.

12. Anexo II — Medidas técnicas y organizativas (art. 32 RGPD)

  • Cifrado. TLS 1.2 o superior para datos en tránsito; AES-256 o equivalente para datos en reposo. Los secretos sensibles del cliente (credenciales de API, tokens de integración) se cifran a nivel de aplicación con un servicio de gestión de claves.
  • Control de accesos. Acceso basado en roles con mínimos privilegios por defecto, autenticación multifactor e identidad centralizada.
  • Confidencialidad del personal. Todo el personal sujeto a deberes de confidencialidad por escrito; accesos concedidos por necesidad y revocados al cambiar de rol o al cesar.
  • Segregación de datos. Segregación lógica de workspaces a nivel de aplicación; tenancy por fila con identificadores de workspace en cada consulta.
  • Gestión de vulnerabilidades. Escáneres automatizados de dependencias y código; parches priorizados por severidad; cadencia de pentests publicada en nuestra página de Seguridad.
  • Registro y monitorización. Registros de seguridad y auditoría con protección de integridad; alertas ante accesos o autenticaciones anómalas.
  • Copias de seguridad y recuperación. Copias automatizadas periódicas; procedimientos de recuperación documentados; retención de copias rodantes limitada a treinta (30) días.
  • Respuesta a incidentes. Plan formal de respuesta a incidentes con roles, escalados y objetivo de notificación al Cliente en 48 horas.
  • Seguridad física. Proporcionada por nuestros proveedores cloud y de colocación; certificaciones (por ejemplo, ISO 27001, SOC 2) documentadas por cada proveedor.
  • Medidas organizativas. Privacidad desde el diseño en la planificación de funcionalidades; formación periódica del personal que trata Datos Personales del Cliente; políticas escritas de control de accesos, criptografía y desarrollo seguro.

13. Contacto

Preguntas sobre este DPA o solicitud de copia firmada: legal@syncek.com.