ConmaCMP
Iniciar sesiónEmpezar gratis
Legal · DPA

Acuerdo de Tratamiento de Datos

Condiciones bajo las cuales Conma Systems trata los datos personales de los usuarios finales en nombre de sus clientes (GDPR Art. 28 · Ley 1581/2012).

Versión 1.0Actualizado el 8 de mayo de 2026Conma Systems · conma.lat

1.Partes y Objeto

El presente Acuerdo de Tratamiento de Datos ("DPA") regula el tratamiento de datos personales que Conma Systems ("Encargado") realiza por cuenta del Cliente ("Responsable") en el marco de la prestación del servicio de Consent Management Platform (CMP) contratado a través de conma.lat.

Este DPA forma parte integral de los Términos y Condiciones de Conma y tiene efecto automático desde la fecha de contratación del servicio.

2.Roles y Responsabilidades

El Cliente es el Responsable del Tratamiento respecto de los datos personales de sus usuarios finales recopilados mediante el banner de consentimiento de Conma. El Cliente determina los fines y los medios del tratamiento.

Conma es el Encargado del Tratamiento y únicamente trata los datos conforme a las instrucciones documentadas del Cliente y lo estrictamente necesario para la prestación del servicio.

3.Datos Tratados

En la ejecución del servicio, Conma trata las siguientes categorías de datos personales de los usuarios finales del Cliente:

CategoríaDescripciónOrigen
Identificador técnicoID anónimo de sesión (sin vincular a identidad)Generado por el banner
Decisión de consentimientoAceptado / Rechazado / Granular por categoríaInteracción del usuario
Marca temporalFecha y hora exacta de la decisiónSistema
Versión de políticaVersión del banner aplicadaConfiguración del cliente
IP hasheadaHash SHA-256 con sal — GDPR Art. 25Servidor
User Agent (opcional)Tipo de dispositivo y navegadorNavegador del usuario
Certificado de integridadHash SHA-256 del registro completoGenerado por Conma

Categorías especiales: Conma no trata datos sensibles de los usuarios finales (Art. 9 GDPR) en ningún caso.

4.Instrucciones de Tratamiento

Conma trata los datos únicamente para:

  • Registrar y almacenar las decisiones de consentimiento de los usuarios finales del Cliente
  • Generar certificados de cumplimiento y evidencia de consentimiento
  • Permitir al Cliente auditar y exportar sus registros de consentimiento
  • Responder solicitudes de derechos de titulares canalizadas por el Cliente

Conma no utilizará los datos de los usuarios finales del Cliente para sus propios fines comerciales, análisis de mercado, ni los compartirá con terceros salvo los sub-encargados autorizados en la Sección 6.

5.Medidas de Seguridad (Art. 32 GDPR)

Técnicas

  • Cifrado en tránsito: TLS 1.3 obligatorio
  • Cifrado en reposo: AES-256 a nivel de base de datos (Supabase)
  • Aislamiento por inquilino: Row-Level Security (RLS) de PostgreSQL
  • IPs hasheadas con sal antes del almacenamiento permanente
  • Certificados de consentimiento firmados con HMAC-SHA256
  • Particionamiento de tablas de auditoría por año
  • Acceso privilegiado con autenticación multifactor

Organizativas

  • Control de acceso basado en roles (OWNER / ADMIN / VIEWER)
  • Registro completo de acciones del Super Admin
  • Política de retención y eliminación automatizada
  • Revisión periódica de accesos y permisos

6.Sub-encargados Autorizados

El Cliente autoriza expresamente el uso de los siguientes sub-encargados:

Sub-encargadoFunciónUbicaciónGarantía
Supabase Inc.Base de datos PostgreSQLBrasil (São Paulo)DPA con SCCs GDPR 2021
Railway Corp.Infraestructura de aplicación y APIEE.UU. / GlobalDPA con SCCs GDPR 2021
Upstash Inc.Caché Redis (reportes, sesiones)AWS us-east-1DPA con SCCs GDPR 2021

Conma notificará al Cliente con al menos 30 días de anticipación cualquier cambio en los sub-encargados, otorgando derecho de objeción. Los sub-encargados están contractualmente obligados a aplicar medidas de protección equivalentes a las del presente DPA.

7.Notificación de Brechas de Seguridad

En caso de brecha de seguridad, Conma notificará al Cliente sin demora indebida y en un plazo máximo de 72 horas tras tener conocimiento del incidente (GDPR Art. 33).

La notificación incluirá:

  • Naturaleza de la brecha y categorías de datos afectados
  • Volumen aproximado de registros comprometidos
  • Medidas tomadas para contener el incidente
  • Recomendaciones para el Cliente

El Cliente es responsable de notificar a su autoridad de control competente cuando así lo requiera la normativa aplicable.

8.Solicitudes de Derechos de Interesados

Si Conma recibe directamente una solicitud de ejercicio de derechos de un usuario final de un Cliente:

  1. Conma redirigirá al solicitante al Cliente correspondiente
  2. Conma asistirá técnicamente al Cliente para responder en el plazo de 30 días
  3. La exportación y eliminación de registros por usuario está disponible desde el panel del Cliente

9.Auditoría y Cumplimiento

El Cliente tiene derecho a:

  • Solicitar información sobre las medidas de seguridad implementadas
  • Realizar auditorías con preaviso de 30 días o designar auditor externo
  • Recibir copias de certificaciones de seguridad relevantes (SOC 2, ISO 27001 cuando disponibles)

Conma cooperará razonablemente con dichas auditorías y con las autoridades de supervisión.

10.Duración, Devolución y Eliminación de Datos

Este DPA permanece vigente mientras dure la relación contractual entre el Cliente y Conma.

Tras la terminación del contrato

  • Conma pondrá a disposición del Cliente una exportación completa de sus registros en formato JSON/CSV durante 30 días desde la fecha de terminación
  • Transcurrido dicho plazo, Conma eliminará de forma segura y permanente todos los datos del Cliente de sus sistemas
  • Conma emitirá un certificado de eliminación si el Cliente lo solicita

11.Ley Aplicable

El presente DPA se rige por las leyes de la República de Colombia y, en lo que respecta al GDPR, por el derecho de la Unión Europea aplicable.

Otras políticas:Política de PrivacidadTérminos y Condiciones