Acuerdo de Tratamiento de Datos (DPA)
Versión 1.1 · Vigente desde 3 junio 2026
Este DPA forma parte de los Términos Partner cuando un partner B2B utiliza miboda.live para gestionar bodas de sus clientes. Cumple el art. 28 del Reglamento (UE) 2016/679 (RGPD) y se inspira en cláusulas tipo de plantillas reconocidas (estructura TermsFeed adaptada).
1. Partes
- Responsable del tratamiento ("el Partner"): la persona física o jurídica que contrata el servicio Partner de miboda.live y registra a sus clientes finales (parejas).
- Encargado del tratamiento ("nosotros"): miboda.live, NIF 75711708D, domicilio en España, contacto hola@miboda.live.
2. Objeto del tratamiento
Prestación del servicio miboda.live al Partner: creación y operación de invitaciones de boda en su nombre, alojamiento de datos, envío de comunicaciones transaccionales y soporte.
3. Duración
Mientras esté vigente la relación contractual entre el Partner y miboda.live, más los plazos de conservación obligatorios.
4. Naturaleza y finalidad
Recogida, alojamiento, organización, consulta, modificación, comunicación interna y supresión de los datos personales necesarios para prestar el servicio descrito en los Términos Partner.
5. Categorías de datos e interesados
| Interesados | Categorías de datos |
|---|---|
| Clientes del Partner (parejas) | nombre, email, teléfono, idioma, contenido de la invitación, fecha de boda |
| Invitados | nombre, RSVP, restricciones alimentarias, canción favorita, dedicatoria y foto opcional |
| Personal del Partner (staff) | email corporativo, rol asignado |
No tratamos categorías especiales del art. 9 RGPD. Sin firma manuscrita digital: el libro de dedicatorias no recoge identificadores biométricos.
6. Obligaciones del encargado
miboda.live se compromete a:
a) Tratar los datos solo siguiendo instrucciones documentadas del Partner (esos son los Términos Partner y este DPA). Si la legislación de la UE/EEE le obligara a tratarlos por otra razón, informará previamente al Partner salvo prohibición legal.
b) Confidencialidad: el personal autorizado está obligado a confidencialidad.
c) Medidas técnicas y organizativas (art. 32 RGPD): autenticación Firebase con MFA opcional, Firebase Security Rules sobre Firestore y Storage, App Check / reCAPTCHA Enterprise antiabuso, HTTPS estricto, segregación por `partnerId`, control de roles (owner/staff/superadmin), rate-limit por IP y por email, idempotencia de webhooks, copia de seguridad diaria automática, logs de operaciones críticas.
d) Asistir al Partner en la respuesta a derechos del interesado (acceso, rectificación, supresión, portabilidad), en la realización de DPIAs cuando proceda y en la notificación de brechas.
e) Notificación de brechas: comunicar al Partner cualquier brecha de seguridad sin dilación indebida y en un plazo máximo de 48 horas desde que tengamos conocimiento, con la información del art. 33.3 RGPD.
f) Supresión o devolución: a elección del Partner, borraremos o devolveremos los datos al término del contrato, salvo conservación obligatoria (facturación, logs de seguridad).
g) Auditoría: facilitar al Partner la información necesaria para demostrar el cumplimiento, incluyendo permitir auditorías razonables (preaviso de 30 días, máximo una al año, gastos por cuenta del Partner) o aceptando reportes de auditoría de tercero (SOC 2 / ISO 27001 cuando estén disponibles).
7. Subencargados (subprocesadores)
El Partner autoriza con carácter general la subcontratación a los proveedores listados en [/legal/subprocesadores](/legal/subprocesadores), entre los que se incluyen:
- Google Cloud / Firebase (alojamiento UE eur3)
- Vercel (hosting frontend UE)
- Polar.sh (pagos, EE. UU.)
- MailerLite (newsletter, UE)
- Sentry (errores, EE. UU.)
- reCAPTCHA Enterprise (antiabuso, UE / Google)
Si añadimos o reemplazamos un subencargado lo notificaremos con 30 días de antelación en /legal/subprocesadores y, si el Partner se opone razonablemente por motivos de protección de datos, podrá rescindir el contrato sin penalización.
Todo subencargado queda obligado contractualmente por las mismas obligaciones que el encargado y este responde frente al Partner por su actuación.
8. Transferencias internacionales
Algunos subencargados están establecidos en EE. UU. (Polar, Sentry, Google para tratamientos accesorios). Las garantías aplicables son:
- Decisión de Adecuación EU–US Data Privacy Framework (10/07/2023) cuando el subencargado esté adherido.
- Cláusulas Contractuales Tipo (Decisión 2021/914 UE) en su defecto.
- Medidas suplementarias (cifrado en tránsito y reposo, segregación, control de acceso).
9. Final del contrato
Al término del contrato, miboda.live eliminará los datos del Partner en el plazo máximo de 90 días naturales, salvo:
- Obligaciones legales de conservación (facturación 4 años).
- Conservación necesaria para defender reclamaciones.
El Partner puede solicitar la devolución previa en formato exportable estándar.
10. Responsabilidad
La responsabilidad de miboda.live frente al Partner por incumplimiento de este DPA queda limitada conforme a la cláusula correspondiente de los Términos Partner. Las limitaciones no aplican en caso de dolo, culpa grave o sanciones directamente derivadas del incumplimiento del RGPD.
11. Modificaciones
Podemos actualizar este DPA por cambios normativos o de seguridad. Los cambios materiales se notificarán con 30 días de antelación.
12. Contacto
Asuntos de privacidad y seguridad: hola@miboda.live
---
Histórico:
- v1.1 (03/06/2026): Cláusulas Art. 28 RGPD detalladas, categorías de datos, plazos de notificación (48h brechas), supresión 90 días, transferencias internacionales (DPF/SCCs), libro de dedicatorias sin biometría.
- v1.0 (17/05/2026): Versión inicial.