Acuerdo de Encargo de Tratamiento
Última actualización: 13 de julio de 2026
Esta traducción se ofrece a título informativo. En caso de discrepancia, prevalece la versión en inglés.
El presente Acuerdo de Encargo de Tratamiento («DPA») se incorpora a las Condiciones del Servicio celebradas entre usted («Cliente», «Responsable del tratamiento») y Overthings, S.L., sociedad de responsabilidad limitada española con CIF B57925703 y domicilio social en Pl. Alexandre Jaume 3, 2, 07002 Palma (Illes Balears), España, que opera el servicio Bitelio («Bitelio», «Encargado del tratamiento», «nosotros»), y forma parte integrante de las mismas. Establece los términos conforme a los cuales se tratan los Datos Personales en cumplimiento del RGPD.
Requisito del RGPD: El artículo 28 del RGPD exige la celebración de un acuerdo de esta naturaleza. El uso del servicio alojado de Bitelio constituye su aceptación de este DPA y su consentimiento a quedar vinculado por él.
1. Definiciones
Los términos en mayúscula empleados en este DPA tienen el significado que les atribuye el RGPD. En particular:
- «Datos Personales» se refiere a toda información relativa a una persona física identificada o identificable que se trate a través de Bitelio
- «Responsable del tratamiento» se refiere al Cliente, es decir, la parte que decide por qué y cómo se tratan los Datos Personales
- «Encargado del tratamiento» se refiere a Overthings, S.L., que opera el servicio Bitelio y lleva a cabo el tratamiento de Datos Personales por cuenta del Responsable del tratamiento
- «Subencargado» se refiere a cualquier tercero al que Bitelio recurra para llevar a cabo el tratamiento de Datos Personales
- «Interesado» se refiere a las personas físicas a las que se refieren los Datos Personales tratados (sus contactos y suscriptores)
- «RGPD» se refiere al Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos)
2. Ámbito y aplicabilidad
Servicio alojado
Este DPA regula el uso del servicio alojado de Bitelio en bitelio.com, que constituye la única modalidad en la que se presta el servicio Bitelio.
Jerarquía contractual
Este DPA complementa las Condiciones del Servicio y la Política de Privacidad de Bitelio. En caso de conflicto entre dichos documentos en materia de tratamiento de datos, se aplica el siguiente orden de prelación:
- Este DPA prevalece en primer lugar
- A continuación se aplican las Condiciones del Servicio
- Por último se aplica la Política de Privacidad
Aceptación
Al utilizar el servicio alojado de Bitelio, usted confirma que ha leído y comprendido este DPA y consiente en quedar vinculado por sus términos. De este modo, el DPA se convierte en un contrato jurídicamente vinculante entre el Cliente y Overthings, S.L.
3. Detalles del tratamiento
De conformidad con el artículo 28, apartado 3, del RGPD, las actividades de tratamiento se describen a continuación:
Objeto
El tratamiento de Datos Personales en la medida necesaria para prestar servicios de automatización de correo electrónico, correo electrónico transaccional, campañas de marketing y automatización de flujos de trabajo.
Duración
Los Datos Personales se tratan mientras su suscripción o cuenta de Bitelio permanezca activa y hasta que usted solicite la supresión de su cuenta. Los registros (logs) de la API se conservan adicionalmente durante 30 días, transcurridos los cuales se eliminan automáticamente.
Naturaleza y finalidad
- Almacenamiento y administración de bases de datos de contactos
- Envío de correos electrónicos transaccionales, de marketing y activados por flujos de trabajo
- Registro de entregas, aperturas, clics, rebotes y quejas de correo electrónico (conforme a su configuración)
- Administración de plantillas de correo electrónico y flujos de trabajo de automatización
- Gestión de eventos de correo electrónico y webhooks
- Generación de analíticas e informes
Tipo de Datos Personales
- Direcciones de correo electrónico (obligatorio)
- Nombres y campos de contacto personalizados (opcionales y definidos por el Cliente)
- Contenido de los correos electrónicos, incluidos los asuntos, los cuerpos de mensaje y los archivos adjuntos
- Estado y preferencias de suscripción
- Registros de actividad de correo electrónico (aperturas, clics, rebotes, quejas)
- Marcas de tiempo y metadatos asociados
Categorías de interesados
- Suscriptores y contactos pertenecientes al Cliente
- Personas que reciben correos electrónicos transaccionales
- Personas que reciben campañas de marketing
- Personas que reciben correos electrónicos de automatización de flujos de trabajo
4. Obligaciones del Encargado del tratamiento
En su condición de Encargado del tratamiento, Bitelio se compromete a lo siguiente:
Instrucciones de tratamiento
- Tratar los Datos Personales únicamente siguiendo instrucciones documentadas del Cliente (impartidas a través de la API, el panel de control y medios similares)
- Abstenerse de tratar los Datos Personales para cualquier otra finalidad, salvo que el Cliente haya otorgado previamente su consentimiento por escrito
- Informar inmediatamente al Cliente si, a juicio de Bitelio, una instrucción infringe el RGPD u otras normas de protección de datos de la UE
Confidencialidad
- Garantizar que toda persona autorizada a tratar Datos Personales esté sujeta a un deber de confidencialidad
- Mantener la confidencialidad de todos los Datos Personales tratados a través de Bitelio
- No comunicar Datos Personales a terceros, salvo que la divulgación venga exigida por la ley o el Cliente haya prestado su consentimiento
Cooperación
- Asistir al Cliente en la gestión de las solicitudes de derechos de los interesados (véase la Sección 7)
- Asistir al Cliente en el cumplimiento de sus obligaciones del RGPD en materia de seguridad, notificación de violaciones de seguridad y evaluaciones de impacto relativas a la protección de datos
- Facilitar la información necesaria para demostrar el cumplimiento del artículo 28
5. Medidas de seguridad
De conformidad con el artículo 32 del RGPD, Bitelio mantiene medidas técnicas y organizativas destinadas a garantizar un nivel de seguridad adecuado al riesgo existente:
Salvaguardas técnicas
- Contraseñas cifradas mediante hash con algoritmos estándar del sector y nunca almacenadas en texto plano
- Acceso a la API restringido a HTTPS (TLS 1.2 o superior)
- Cifrado TLS/SSL aplicado a las conexiones con las bases de datos
- Cookies configuradas como HttpOnly y seguras, con atributos SameSite apropiados
- Tokens de autenticación con periodos de validez limitados
- Limitación de tasa (rate limiting) para contrarrestar los intentos de fuerza bruta
Salvaguardas organizativas
- Controles de acceso que restringen qué personal puede acceder a los Datos Personales
- Supervisión automatizada de las tasas de rebote y de quejas
- Aplicación continua de actualizaciones y parches de seguridad
- Segregación de datos por proyecto (multitenencia aislada)
Residencia de los datos
- Almacenamiento principal de los datos ubicado en la UE/EEE (infraestructura de Hetzner)
- Bases de datos y almacenamiento de archivos mantenidos dentro de la UE/EEE
- La entrega de correo electrónico puede transitar por regiones fuera de la UE (véase la Sección 9)
6. Subencargados
El Cliente autoriza a Bitelio a recurrir a los subencargados enumerados a continuación para el tratamiento de Datos Personales:
| Subencargado | Servicio | Ubicación | Finalidad |
|---|
| Amazon Web Services (AWS SES) | Entrega de correo electrónico | Global (solo datos en tránsito) | Envío de correos electrónicos a los destinatarios |
| Stripe, Inc. | Procesamiento de pagos | EE. UU. (conforme a PCI-DSS) | Facturación de las cuentas de pago |
| Hetzner Online GmbH | Alojamiento de infraestructura | UE/EEE (Alemania) | Alojamiento de bases de datos y aplicaciones |
Obligaciones de los subencargados
- Todo subencargado está sujeto a compromisos de protección de datos equivalentes a los establecidos en este DPA
- Bitelio responde plenamente ante el Cliente del desempeño de sus subencargados
- Cada subencargado ha celebrado un Acuerdo de Encargo de Tratamiento con Bitelio
Cambios de subencargados
- Bitelio notificará por correo electrónico, con 30 días de antelación, la incorporación o sustitución de cualquier subencargado
- La notificación se enviará a la dirección de correo electrónico vinculada a su cuenta
- Si usted se opone por motivos razonables de protección de datos, podrá cancelar su cuenta en un plazo de 30 días
- La lista de subencargados vigente se mantendrá actualizada en esta página (consulte la fecha de «Última actualización»)
7. Derechos de los interesados
Bitelio asistirá al Cliente en la respuesta a las solicitudes de derechos de los interesados en virtud de los artículos 15 a 22 del RGPD:
Autoservicio a través de la API
La mayoría de las solicitudes de los interesados pueden ser gestionadas directamente por el Cliente a través de la API:
- Acceso (art. 15): Recupere los datos de un contacto mediante GET /contacts/:id
- Rectificación (art. 16): Corrija los datos de un contacto mediante PATCH /contacts/:id
- Supresión (art. 17): Elimine un contacto mediante DELETE /contacts/:id
- Limitación (art. 18): Establezca el estado de suscripción del contacto en «unsubscribed» (dado de baja)
- Portabilidad (art. 20): Acceda a los datos en formato JSON a través de la API
Asistencia de Bitelio
Cuando una solicitud no pueda completarse a través de la API, el Cliente podrá escribir a legal@bitelio.com:
- Incluya la dirección de correo electrónico del interesado y una descripción de la solicitud
- Bitelio responderá en un plazo de 10 días hábiles con la información o la asistencia solicitadas
- Verificar la identidad del interesado antes de divulgar cualquier información sigue siendo responsabilidad del Cliente
Datos de actividad de correo electrónico
- Las aperturas, clics, rebotes y quejas están vinculados a los registros de contacto correspondientes
- Cuando se elimina un contacto, la actividad de correo electrónico asociada se elimina con él
- Los registros de la API (que no contienen Datos Personales) se purgan automáticamente a los 30 días
8. Notificación de violaciones de seguridad de los datos
Obligación de notificación
En caso de que una violación de la seguridad de los Datos Personales afecte a datos del Cliente, Bitelio:
- Informará al Cliente sin dilación indebida y, en todo caso, en un plazo de 72 horas desde que tenga conocimiento de la violación (conforme al art. 33 del RGPD)
- Dirigirá la notificación a la dirección de correo electrónico principal de la cuenta del Cliente
- Facilitará la información que el Cliente necesite para cumplir sus propias obligaciones de notificación de violaciones de seguridad bajo el RGPD
Información sobre la violación
Cada notificación indicará, en la medida en que la información esté disponible:
- La naturaleza de la violación y lo ocurrido
- Las categorías y el número aproximado de interesados afectados
- Las categorías y el número aproximado de registros de Datos Personales afectados
- Las consecuencias probables de la violación
- Las medidas adoptadas o previstas para poner remedio a la violación y limitar sus perjuicios
- Un punto de contacto para obtener más información (legal@bitelio.com)
Responsabilidad del Cliente
- Cuando así lo exija el art. 33 del RGPD, notificar a la autoridad de control competente es responsabilidad del Cliente
- Cuando así lo exija el art. 34 del RGPD, comunicar la violación a los interesados afectados es igualmente responsabilidad del Cliente
- Una notificación de violación de seguridad remitida por Bitelio al Cliente NO constituye asesoramiento jurídico ni de cumplimiento normativo
9. Transferencias internacionales de datos
Almacenamiento principal (UE/EEE)
- Los datos de contactos, las plantillas, los flujos de trabajo y los datos de cuenta se almacenan en su totalidad dentro de la UE/EEE (Hetzner, Alemania)
- Los Datos Personales almacenados no se transfieren de forma habitual fuera de la UE/EEE
Datos en tránsito (entrega de correo electrónico)
En el curso de la entrega de correos electrónicos a los destinatarios, los Datos Personales pueden transitar por regiones fuera de la UE:
- AWS SES gestiona la entrega de correo electrónico a escala global
- Dichos datos se encuentran únicamente en tránsito y no se conservan a largo plazo fuera de la UE/EEE
- Estas transferencias están amparadas por el Acuerdo de Encargo de Tratamiento de AWS y por las Cláusulas Contractuales Tipo (SCC)
Datos de pago (Stripe)
- Los datos de pago, incluidas las tarjetas de crédito, son gestionados por Stripe, un proveedor con sede en EE. UU.
- Stripe cuenta con la certificación PCI-DSS de Nivel 1
- Estas transferencias están amparadas por el Acuerdo de Encargo de Tratamiento de Stripe y por las Cláusulas Contractuales Tipo
- Bitelio NO almacena por sí mismo números de tarjeta de crédito; Stripe los tokeniza
Cláusulas Contractuales Tipo
Todo subencargado que trate Datos Personales fuera de la UE/EEE ha suscrito las Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea, que proporcionan las garantías adecuadas para las transferencias internacionales exigidas por el artículo 46 del RGPD.
10. Auditorías y cumplimiento
Facilitación de información
Bitelio facilitará al Cliente la información necesaria para demostrar el cumplimiento de sus obligaciones del artículo 28 del RGPD, incluyendo:
- Este DPA, que es de acceso público
- La Política de Privacidad, que describe las actividades de tratamiento
- La lista de subencargados recogida en la Sección 6 anterior
- Documentación sobre las medidas de seguridad, facilitada previa solicitud razonable
Derechos de auditoría
El Cliente tiene derecho a auditar el cumplimiento de este DPA por parte de Bitelio en las siguientes condiciones:
- Un máximo de una auditoría al año, salvo que una autoridad de control exija otra cosa
- Debe remitirse una solicitud por escrito a legal@bitelio.com con 30 días de antelación
- La auditoría debe ser realizada por un auditor tercero independiente sujeto a obligaciones de confidencialidad
- Las auditorías se llevan a cabo en horario laboral y deben reducir al mínimo la perturbación operativa
- Todos los costes de la auditoría corren a cargo del Cliente
- El alcance se limita al cumplimiento del RGPD y no se extiende a evaluaciones generales de seguridad
Alternativa a las auditorías
En lugar de llevar a cabo una auditoría completa, el Cliente puede solicitar la revisión de las certificaciones y la documentación de cumplimiento de los subencargados (como informes SOC 2 o ISO 27001) cuando estén disponibles.
11. Supresión y devolución de datos
Supresión de la cuenta
Tras la supresión de la cuenta de Bitelio del Cliente (a través del panel de control o previa solicitud):
- Todos los Datos Personales se eliminan inmediatamente de los sistemas de producción
- La supresión es permanente; no existe periodo de gracia ni margen de recuperación
- El Cliente debe recuperar sus datos o hacer una copia de seguridad de ellos a través de la API con antelación, ya que Bitelio NO ofrece una funcionalidad de exportación de datos
- La supresión abarca contactos, correos electrónicos, plantillas, flujos de trabajo, campañas y registros de actividad de correo electrónico
Conservación de copias de seguridad
- Los datos eliminados pueden persistir en copias de seguridad cifradas durante un máximo de 30 días, exclusivamente con fines de recuperación ante desastres
- Una vez suprimida la cuenta, los datos de las copias de seguridad no pueden consultarse ni restaurarse
- Las copias de seguridad se sobrescriben automáticamente una vez transcurrido el periodo de conservación
Conservación por obligación legal
Cuando la ley así lo exija (por ejemplo, registros contables o prevención del fraude), Bitelio podrá conservar determinados datos:
- Registros de facturación: se conservan durante los plazos exigidos por la normativa fiscal y contable (normalmente 7 años)
- Registros de fraude y abuso: se conservan por motivos de seguridad (direcciones de correo electrónico vinculadas a cuentas suspendidas)
- Requerimientos legales: los datos sujetos a una obligación de retención legal se conservan durante el tiempo que exija la ley
Sin devolución de datos
Bitelio NO exporta ni devuelve datos con motivo de la terminación. El Cliente debe recuperar sus datos a través de la API antes de suprimir la cuenta; una vez efectuada la supresión, los datos son irrecuperables.
12. Responsabilidad e indemnización
Responsabilidades del Cliente
En su condición de Responsable del tratamiento, el Cliente es responsable de:
- Establecer una base jurídica para el tratamiento conforme al RGPD (como el consentimiento, el contrato o el interés legítimo)
- Obtener los consentimientos necesarios de los interesados antes de incorporarlos a Bitelio
- Facilitar a los interesados la información sobre privacidad exigida por los artículos 13 y 14 del RGPD
- Cumplir la legislación antispam aplicable (CAN-SPAM, CASL, RGPD y otras)
- Confirmar la identidad del interesado antes de atender una solicitud de derechos
- Notificar a las autoridades de control y comunicar a los interesados las violaciones de seguridad cuando así se exija
Responsabilidad de Bitelio
- Bitelio responde ante el Cliente del cumplimiento de este DPA y de sus obligaciones del artículo 28 del RGPD
- Bitelio asume por los actos y omisiones de sus subencargados la misma responsabilidad que por los propios
- Las limitaciones de responsabilidad establecidas en las Condiciones del Servicio siguen siendo aplicables, salvo en la medida en que el RGPD las prohíba (en particular, el art. 82)
Indemnización
- El Cliente indemnizará a Bitelio frente a las reclamaciones derivadas del incumplimiento por parte del Cliente del RGPD u otras normas de protección de datos
- Bitelio indemnizará al Cliente frente a las reclamaciones derivadas exclusivamente del incumplimiento por parte de Bitelio de este DPA o del artículo 28 del RGPD
Multas del RGPD
De conformidad con el artículo 82, apartado 3, del RGPD, la responsabilidad por los daños y perjuicios se reparte entre Responsable y Encargado en función de la culpa: cada parte responde únicamente del daño atribuible a su propia infracción del RGPD.
13. Duración y terminación
Fecha de entrada en vigor
Este DPA entra en vigor en la fecha en que usted utilice por primera vez el servicio alojado de Bitelio y permanece vigente mientras las Condiciones del Servicio sigan en vigor.
Terminación
Este DPA se extingue automáticamente cuando se produzca cualquiera de las siguientes circunstancias:
- El Cliente suprime su cuenta de Bitelio
- Se produce la terminación de las Condiciones del Servicio
- Todos los Datos Personales han sido suprimidos conforme a la Sección 11
Supervivencia
Las disposiciones sobre confidencialidad, supresión de datos y responsabilidad continúan aplicándose tras la terminación en la medida necesaria para darles efecto.
Actualizaciones del DPA
- Bitelio podrá revisar este DPA para reflejar cambios en la legislación, en sus subencargados o en sus actividades de tratamiento
- Los cambios sustanciales se anunciarán por correo electrónico 30 días antes de su entrada en vigor
- Continuar utilizando Bitelio después de que un cambio entre en vigor constituye su aceptación
- La fecha de «Última actualización» que figura al principio de esta página sirve como referencia de versión
¿Preguntas o solicitudes?
Si tiene preguntas sobre este DPA o sobre nuestras actividades de tratamiento de datos, o desea ejercer sus derechos de auditoría, póngase en contacto con nosotros:
Correo electrónico: legal@bitelio.com
Plazo de respuesta: en un plazo de 10 días hábiles
Para las solicitudes de derechos de los interesados, los Clientes deben utilizar la API (véase la Sección 7) o escribir a legal@bitelio.com, indicando la dirección de correo electrónico del interesado y la naturaleza de la solicitud.