Acuerdo de Procesamiento de Datos (DPA) – Reserwa

1. Definiciones

• Datos Personales: Información relativa a una persona física identificada o identificable, procesada por Reserwa en nombre del Responsable (ej. nombre, email, teléfono de usuarios).
• Tratamiento: Cualquier operación sobre datos personales (ej. recolección, almacenamiento, uso).
• Responsable: El propietario del negocio que determina los fines y medios del tratamiento.
• Encargado: Reserwa, que procesa datos en nombre del Responsable.
• Usuario: Cliente final del Responsable que reserva citas o cuyas citas son gestionadas por el Responsable.
• Subencargado: Tercero contratado por Reserwa para procesar datos personales, si aplica. En el caso de Reserwa: Ninguno, todo self-hosted.

2. Objeto

3. Detalles del Tratamiento

• Categorías de Interesados: Usuarios (clientes finales de los propietarios).
• Tipos de Datos Personales: Nombre, email, número de teléfono, detalles de cita (fecha, hora, notas).
• Fines del Tratamiento:
  • Gestionar reservas en el calendario online, ya sea por el usuario o el Responsable.
  • Enviar confirmaciones y recordatorios vía WhatsApp (mediante API propia self-hosted).
  • Sincronizar citas con Google Calendar, si el Responsable lo configura.
  • Generar analíticas para el Responsable, en fase futura de implementación.
• Duración: Durante la vigencia del contrato con el Responsable y hasta que se solicite supresión, salvo obligaciones legales (ej. retención fiscal por 5 años).

4. Obligaciones de Reserwa (Encargado) Reserwa se compromete a:
5. Procesar Datos Bajo Instrucciones
6. Confidencialidad del Personal Autorizado
7. Seguridad Técnica y Organizativa, incluyendo:
   • Certificados SSL (Let’s Encrypt).
   • Cifrado de datos en tránsito y en reposo.
   • Backups cifrados.
   • VPS en Francia (Lauterburgo) con autenticación SSH y firewall.
8. Subencargados:
   • No se utilizan actualmente.
   • Si se incorporan, se notificará con 30 días de antelación.
9. Asistencia al Responsable
   • Derechos ARCO, DPIA y consultas.
   • Notificación de brechas en 48 horas.
10. Supresión o Devolución de Datos al finalizar el contrato, salvo obligación legal (ej. registros fiscales por 5 años).
11. Auditorías: Permitidas con notificación previa y en horario comercial.
12. Obligaciones del Responsable
13. Legitimidad del Tratamiento
14. Transparencia con sus Usuarios
15. Proporcionar Instrucciones Claras
16. Cumplimiento Normativo del RGPD y LOPD GDD
17. Subencargados El Responsable autoriza a Reserwa a usar subencargados en el futuro, siempre que se informe con al menos 30 días de antelación. Actualmente:

    Nombre	Finalidad	Ubicación	Garantías
    Ninguno	N/A	N/A	N/A
    Lista actualizada: https://reserwa.es/subencargados

18. Transferencias Internacionales No se realizan transferencias internacionales. Todos los datos se alojan en el VPS privado de Reserwa ubicado en Francia (Lauterburgo), dentro del Espacio Económico Europeo (EEE).
19. Brechas de Seguridad Reserwa notificará cualquier brecha de seguridad al Responsable en un plazo máximo de 48 horas, incluyendo el impacto estimado y medidas adoptadas.
20. Supresión de Datos Al finalizar el contrato o por solicitud del Responsable, los datos personales serán suprimidos o devueltos, salvo obligación legal (retención durante 5 años para fiscalidad). Se podrá certificar dicha supresión si el Responsable lo requiere.
21. Responsabilidad Reserwa responderá por incumplimientos atribuibles a su actividad como encargado. El Responsable indemnizará en caso de instrucciones ilegales o ausencia de base legal.
22. Duración y Terminación Este DPA estará vigente mientras el Responsable utilice los servicios de Reserwa. Las cláusulas sobre confidencialidad y supresión de datos seguirán vigentes tras la finalización.
23. Ley Aplicable y Jurisdicción Este DPA se rige por la legislación española. Las disputas se resolverán en los tribunales de Sevilla, España.
24. Contacto

• Correo: administracion@reserwa.es
• Dirección: C/ Mascareta 51, CP41940, Tomares (Sevilla)