Acuerdo de Encargado del Tratamiento (DPA) - Art. 28 RGPD
2.1. Objeto y duración
Objeto: Tuko tratará datos personales del consumidor final únicamente para permitir la gestión de compras colectivas, enviar notificaciones operativas y generar estadísticas agregadas y anónimas. No se procesará información identificativa para fines propios. La tienda seguirá siendo el responsable del tratamiento.
Duración: el tratamiento durará mientras la tienda utilice el servicio y hasta que se borren o devuelvan los datos personales al finalizar la relación contractual.
2.2. Naturaleza y finalidad del tratamiento
Naturaleza: recogida y registro de nombre y correo electrónico, estado de participación en el grupo, número de unidades y timestamps mediante formularios online, webhooks y APIs. Envío de comunicaciones operativas por email y mantenimiento de logs de eventos.
Finalidad: gestionar la adhesión a grupos de compra, informar al consumidor del estado del grupo, cerrar el cobro al cumplirse el hito y remitir al responsable estadísticas agregadas de rendimiento. Datos adicionales se utilizarán únicamente de forma anonimizada para análisis estadístico.
2.3. Tipos de datos y categorías de interesados
Datos tratados: nombre, apellidos y correo electrónico del consumidor final; identificador de la tienda; identificador del grupo; estado de la participación; número de unidades; fecha y hora de alta. NO se recopilan direcciones, datos de pago ni historiales de compra externos.
Interesados: clientes finales que participan en un grupo de compra colectiva.
2.4. Obligaciones de Tuko como encargado
- Instrucciones documentadas: Tuko solo tratará los datos personales conforme a las instrucciones documentadas de la tienda y no los destinará a fines propios.
- Confidencialidad: garantizar que las personas autorizadas se comprometan a la confidencialidad y a cumplir el RGPD.
- Seguridad: aplicar medidas técnicas y organizativas adecuadas (cifrado en tránsito y reposo, separación de ambientes, control de accesos, pseudonimización y minimización de datos). Ver Anexo 2.
- Subprocesadores: no delegar en otros encargados sin autorización general previa de la tienda. Se publica una lista de subprocesadores (Anexo 1) y se notifican cambios para que la tienda pueda oponerse. Tuko se responsabiliza de que el subencargado cumpla las mismas obligaciones.
- Asistencia: ayudar a la tienda a responder a solicitudes de derechos de los interesados (acceso, supresión, portabilidad, oposición), cumplir con las obligaciones en materia de seguridad (arts. 32 a 36 RGPD) y, en caso de brecha de datos, notificar a la tienda de manera diligente.
- Fin de la relación: tras la terminación del servicio, y a elección de la tienda, Tuko suprimirá o devolverá todos los datos personales tratados y eliminará las copias, salvo que la ley exija su conservación.
- Transferencias internacionales: cuando se utilicen proveedores situados fuera del EEE, Tuko garantiza un nivel adecuado mediante adhesión al marco EU-US Data Privacy Framework o mediante cláusulas contractuales tipo.
2.5. Obligaciones de la tienda como responsable
- Base legal y transparencia: debe contar con la base jurídica apropiada para recabar los datos (ejecución del contrato de compraventa) y proporcionar a los usuarios la información exigida por el art. 13 RGPD. Debe incluir a Tuko como encargado en su política de privacidad.
- Consentimiento de cookies: si el widget utiliza cookies no técnicas, la tienda debe implementar un banner que permita aceptar o rechazar las cookies analíticas según la guía de la AEPD.
- Gestión de reclamaciones: la tienda atenderá directamente las reclamaciones y solicitudes de derechos de los consumidores, informando a Tuko cuando requiera asistencia.
Anexo 1: Subprocesadores autorizados y transferencias
| Proveedor | Servicio | Ubicación | Mecanismo |
|---|
| Redsys Servicios de Procesamiento S.L. | Pasarela de pago | España | No aplica |
| Stripe Payments Europe, Ltd. | Pasarela de pago | Irlanda | No aplica |
| Shopify, Inc. | Plataforma e-commerce | Canadá | Decisión de adecuación |
| Sendgrid / Resend / Brevo | Emails operativos | EE. UU. | DPF o SCC |
| Hetzner GmbH | Hosting alternativo | Alemania | No aplica |
Se podrán añadir nuevos subprocesadores previa notificación.
Anexo 2: Medidas de seguridad técnicas y organizativas
- Cifrado: HTTPS y TLS para todas las conexiones; cifrado AES-256 en bases de datos.
- Pseudonimización: separación de identificadores personales de los registros de eventos; generación de IDs internos para agrupar datos.
- Control de accesos: autenticación de doble factor para personal autorizado, registro de accesos y políticas de mínimos privilegios.
- Retención mínima: los datos se conservan solo el tiempo necesario para la operativa (máximo 30 días tras cierre), salvo logs agregados y anonimizados.
- Gestión de incidentes: procedimientos de detección, respuesta y notificación de brechas.
Versión 1.0 - 12/02/2026