Acuerdo de Tratamiento de Datos

Este Acuerdo de Tratamiento de Datos (DPA) forma parte de nuestras condiciones generales y se aplica automáticamente cuando, como cliente B2B, contratas un servicio en el que tratamos datos personales de tus usuarios finales por encargo tuyo (RGPD art. 28). No hace falta firmarlo aparte — aceptar las condiciones = aceptar este DPA.

1. Partes y roles

Responsable del tratamiento: tú, el cliente (el "Cliente").

Encargado del tratamiento: InternalHost (autónomo Xaviero Kajafas, KvK neerlandés 90174720).

InternalHost trata datos personales únicamente siguiendo las instrucciones del Cliente y solo en la medida necesaria para prestar los servicios acordados (hosting, almacenamiento, correo, red).

2. Objeto y duración

• Objeto: tratamiento de datos personales en el contexto de los servicios de infraestructura TI que prestamos.
• Naturaleza del tratamiento: almacenamiento, transmisión (dentro de nuestra infraestructura), copias de seguridad — nosotros no procesamos activamente el contenido de los usuarios finales.
• Finalidad: poner a disposición los servicios TI acordados.
• Categorías de interesados: las que determine el Cliente. Nosotros no tenemos visibilidad (no miramos en tus bases de datos).
• Tipos de datos personales: los que determine el Cliente. Las categorías especiales (salud, religión, etc.) se permiten siempre que el Cliente adopte medidas técnicas y organizativas adecuadas.
• Duración: mientras esté vigente el contrato principal, más un periodo de recuperación de 14 días tras la terminación.

3. Medidas de seguridad

InternalHost adopta como mínimo las siguientes medidas técnicas y organizativas:

• Cifrado en tránsito: TLS 1.2+ en todos los endpoints públicos, WireGuard para la malla interna.
• Cifrado en reposo: LUKS en todos los volúmenes de almacenamiento. El cifrado a nivel de cliente es responsabilidad del Cliente.
• Control de acceso: SSH solo con claves ed25519, MFA obligatorio para acceso de admin, principio de mínimo privilegio.
• Logging: los accesos a la infraestructura se registran (90 días).
• Copias de seguridad: snapshots cifrados diarios de volúmenes de cliente, retención 7d/4s/12m (de nuestro lado — la copia a nivel de aplicación es responsabilidad del Cliente).
• Seguridad física: Qupra DC tiene acceso con personal 24/7, certificación ISO 27001 + 9001, acceso biométrico + mantrap.
• Actualizaciones de software: parches de seguridad en 7 días desde su publicación, los críticos en 24 horas.
• Monitorización: CrowdSec + fail2ban en todos los servicios expuestos.

Un resumen actualizado de las medidas técnicas está disponible bajo petición en [email protected].

4. Subencargados

Usamos los siguientes subencargados. Todos en la UE. Notificamos cualquier cambio con al menos 30 días de antelación para que el Cliente pueda oponerse.

5. Transferencias fuera de la UE

No transferimos datos personales a países fuera de la UE/EEE, salvo cuando Cloudflare, como CDN, enruta inevitablemente vía PoPs no-UE en caso de DDoS. En ese caso aplican Cláusulas Contractuales Tipo entre Cloudflare y nosotros.

6. Procedimiento ante brecha de datos

Ante una brecha de datos personales que afecte al Cliente, le notificamos en 24 horas desde el descubrimiento (al email registrado) con:

• Naturaleza de la brecha
• Categorías y número aproximado de afectados
• Consecuencias probables
• Medidas adoptadas o propuestas

El Cliente decide si procede notificar a la Autoridad de Protección de Datos. Le apoyamos en lo que necesite.

7. Terminación y devolución de datos

Tras la terminación del contrato principal:

• El Cliente dispone de 14 días para descargar todos sus datos (vía SSH/SFTP, o solicitud de exportación).
• Después, todos los datos personales se eliminan de forma permanente, salvo cuando aplique retención legal (fiscalidad neerlandesa: facturas 7 años).
• Bajo petición proporcionamos un certificado de destrucción por escrito.

Para contratos específicos (gran B2B, sanidad, sector financiero) podemos firmar un DPA personalizado. Escribe a [email protected].