LS
LeadScout

Este documento contiene campos marcados con [CORCHETES] que deben ser completados antes de publicar.

Acuerdo de Tratamiento de Datos (DPA)

Última actualización: 3 de abril de 2026

1. Las partes

El presente Acuerdo de Tratamiento de Datos (en adelante, «el Acuerdo» o«DPA») se celebra entre:

El Responsable del Tratamiento: el cliente persona física o jurídica que contrata los servicios de LeadScout, cuyos datos identificativos constan en el contrato de suscripción o en la cuenta registrada en la plataforma (en adelante, el «Responsable»).

El Encargado del Tratamiento: [NOMBRE_EMPRESA], sociedad con domicilio social en [DIRECCIÓN_REGISTRADA], inscrita en el Registro Mercantil de [CIUDAD] con número [NÚMERO_REGISTRO] y NIF [NIF], que presta los servicios de generación y gestión de leads a través de la plataforma LeadScout (en adelante, el «Encargado»).

Ambas partes reconocen su capacidad legal para suscribir el presente Acuerdo y acuerdan que este complementa y forma parte integrante de los Términos y Condiciones de uso de LeadScout, aplicándose en todo aquello que no esté expresamente regulado en dichos Términos.

2. Objeto y duración

El presente Acuerdo tiene por objeto regular las condiciones bajo las cuales el Encargado trata datos personales por cuenta del Responsable en el marco de la prestación de los servicios de generación, enriquecimiento y gestión de leads ofrecidos a través de la plataforma LeadScout.

Los datos personales objeto de tratamiento incluyen, de forma no exhaustiva, información de contacto de negocios locales (nombres, direcciones, números de teléfono y correos electrónicos de empresas y sus representantes) que el Responsable recopila, importa o genera mediante el uso de la plataforma.

El presente Acuerdo entrará en vigor en la fecha de aceptación de los Términos y Condiciones por parte del Responsable y permanecerá vigente durante todo el período de suscripción activa al servicio. La finalización de la suscripción, por cualquier causa, conllevará la terminación automática del presente Acuerdo, sin perjuicio de las obligaciones de supresión o devolución de datos reguladas en la cláusula décima.

3. Naturaleza y finalidad del tratamiento

El tratamiento realizado por el Encargado tiene carácter instrumental y accesorio respecto a la actividad propia del Responsable. La naturaleza de las operaciones de tratamiento comprende la recogida, almacenamiento, organización, estructuración, consulta, actualización, enriquecimiento, extracción, exportación y supresión de datos personales.

Las finalidades para las que se llevan a cabo dichas operaciones son exclusivamente:

  • La provisión de los servicios de generación de leads de negocios locales, incluyendo la búsqueda, identificación y presentación de información de contacto empresarial.
  • El enriquecimiento de perfiles de leads mediante la agregación de datos adicionales procedentes de fuentes públicas o de terceros autorizados.
  • La gestión y organización de los leads almacenados en la cuenta del Responsable, incluyendo el etiquetado, filtrado y exportación de registros.
  • La prestación de soporte técnico y mantenimiento de la plataforma en la medida en que sea estrictamente necesario para la continuidad del servicio.

El Encargado queda expresamente prohibido de tratar los datos para finalidades propias distintas de las aquí enumeradas, salvo obligación legal que así lo exija, en cuyo caso informará al Responsable con carácter previo, salvo que dicha comunicación estuviera legalmente vedada.

4. Datos tratados y categorías de interesados

4.1 Tipos de datos personales

Los datos personales que el Encargado trata por cuenta del Responsable pertenecen a las siguientes categorías:

  • Datos de contacto empresarial: nombre comercial o razón social, nombre y apellidos del titular o representante del negocio, número de teléfono fijo y/o móvil, dirección de correo electrónico, dirección postal o ubicación física del establecimiento, y URL del sitio web.
  • Métricas de uso de la plataforma: datos de actividad del Responsable sobre los leads gestionados, incluyendo fechas de acceso, acciones realizadas sobre los registros (visualización, exportación, etiquetado) y estadísticas de uso agregadas.
  • Datos adicionales de enriquecimiento: cualquier dato accesorio que el Responsable incorpore manualmente a los perfiles de leads almacenados en su cuenta, como notas, valoraciones o etiquetas personalizadas.

Queda expresamente excluido el tratamiento de categorías especiales de datos a que se refiere el artículo 9 del Reglamento (UE) 2016/679 (RGPD), así como datos relativos a condenas e infracciones penales conforme al artículo 10 del mismo cuerpo normativo.

4.2 Categorías de interesados

Los interesados cuyos datos personales son objeto de tratamiento son, principalmente, propietarios, titulares y representantes de negocios locales (autónomos, microempresas y pequeñas empresas) cuyos datos de contacto profesional han sido recopilados por el Responsable o generados mediante el uso de las funcionalidades de búsqueda de LeadScout.

5. Instrucciones del Responsable

El Encargado tratará los datos personales única y exclusivamente conforme a las instrucciones documentadas del Responsable, las cuales se recogen en el presente Acuerdo, en los Términos y Condiciones de uso de la plataforma y en cualquier instrucción específica que el Responsable traslade por escrito a través de los canales habilitados al efecto.

El Encargado informará inmediatamente al Responsable si, en su opinión, una instrucción recibida infringe el RGPD o cualquier otra normativa de protección de datos de la Unión Europea o de los Estados miembros aplicable.

Si el Encargado estuviera obligado a tratar datos en virtud del Derecho de la Unión o de los Estados miembros que le sea aplicable, comunicará dicha obligación legal al Responsable antes del tratamiento, salvo que tal Derecho lo prohíba por razones importantes de interés público.

Las instrucciones del Responsable prevalecerán sobre cualquier otra consideración del Encargado respecto al tratamiento, dentro de los límites establecidos por la normativa vigente.

6. Obligaciones del Encargado

De conformidad con el artículo 28 del RGPD, el Encargado se compromete a cumplir las siguientes obligaciones:

6.1 Tratamiento conforme a instrucciones

El Encargado tratará los datos personales únicamente siguiendo las instrucciones documentadas del Responsable y no los utilizará para finalidades propias ni ajenas a las descritas en el presente Acuerdo.

6.2 Confidencialidad del personal autorizado

El Encargado garantizará que las personas autorizadas para tratar datos personales se han comprometido a respetar la confidencialidad o están sujetas a una obligación legal adecuada de confidencialidad. El acceso a los datos quedará restringido a aquellas personas cuya intervención sea estrictamente necesaria para la prestación del servicio.

6.3 Medidas de seguridad (Art. 32 RGPD)

El Encargado aplicará medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que incluyen, entre otras:

  • Cifrado: cifrado en tránsito mediante TLS 1.2 o superior para todas las comunicaciones entre el cliente y la plataforma, y cifrado en reposo de los datos almacenados en base de datos.
  • Control de acceso: autenticación de usuarios con contraseñas robustas y soporte para autenticación multifactor (MFA); gestión de roles y permisos con principio de mínimo privilegio.
  • Copias de seguridad: realización de copias de seguridad periódicas de los datos con procedimientos de recuperación verificados y documentados.
  • Monitorización: sistemas de detección y registro de accesos no autorizados, anomalías de comportamiento y eventos de seguridad relevantes.
  • Evaluación y prueba periódicas de la eficacia de las medidas técnicas y organizativas adoptadas.

6.4 Condiciones para la intervención de subencargados

El Encargado no contratará a otro encargado sin autorización previa específica o general por escrito del Responsable. En el caso de autorización general, el Encargado informará al Responsable de los cambios previstos relativos a la adición o sustitución de subencargados, dando así al Responsable la oportunidad de oponerse a dichos cambios. Los subencargados autorizados se relacionan en la cláusula séptima.

6.5 Asistencia en el ejercicio de derechos de los interesados

El Encargado asistirá al Responsable, mediante medidas técnicas y organizativas apropiadas, para que pueda cumplir con su obligación de responder a las solicitudes de ejercicio de los derechos reconocidos en el Capítulo III del RGPD (acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición). El Encargado redirigirá al Responsable, sin dilación indebida, cualquier solicitud que reciba directamente de los interesados.

6.6 Asistencia en evaluaciones de impacto (EIPD)

El Encargado prestará asistencia al Responsable para garantizar el cumplimiento de las obligaciones previstas en los artículos 32 a 36 del RGPD, teniendo en cuenta la naturaleza del tratamiento y la información disponible. En particular, colaborará en la realización de Evaluaciones de Impacto relativas a la Protección de Datos (EIPD) y en las consultas previas a la autoridad de control, cuando proceda.

6.7 Devolución o supresión de datos al término del contrato

A elección del Responsable, el Encargado suprimirá o devolverá todos los datos personales una vez finalice la prestación de los servicios de tratamiento, y suprimirá las copias existentes, salvo que el Derecho de la Unión o de los Estados miembros exija la conservación de dichos datos. Los plazos y el procedimiento aplicables se detallan en la cláusula décima.

6.8 Disponibilidad de información para auditorías de cumplimiento

El Encargado pondrá a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el artículo 28 del RGPD y permitirá y contribuirá a la realización de auditorías, incluidas inspecciones, por parte del Responsable o de otro auditor autorizado por este, conforme a lo dispuesto en la cláusula siguiente.

6.9 Derecho de auditoría

El Responsable, o un tercero auditor designado por escrito con al menos treinta (30) días de antelación, podrá realizar auditorías sobre las actividades de tratamiento del Encargado, siempre que estas se lleven a cabo en horario laboral, no interfieran injustificadamente con las operaciones del Encargado y estén sujetas a un acuerdo de confidencialidad. El coste de la auditoría será asumido íntegramente por el Responsable salvo que los resultados evidencien un incumplimiento material del presente Acuerdo, en cuyo caso será sufragado por el Encargado.

7. Subencargados del tratamiento

El Responsable otorga su autorización general al Encargado para contratar los servicios de los subencargados que se relacionan a continuación, los cuales han sido evaluados por el Encargado conforme a los requisitos del artículo 28.4 del RGPD:

ProveedorServicio prestadoUbicación / PaísMecanismo de transferencia
Supabase, Inc.Alojamiento de base de datos y autenticación de usuariosUnión Europea (AWS eu-west-1)Adecuación (UE)
Stripe, Inc.Procesamiento de pagos y gestión de suscripcionesEstados UnidosCláusulas Contractuales Tipo (CCT) – Decisión 2021/914/UE
Vercel, Inc.Alojamiento del frontend y despliegue de la aplicaciónEstados UnidosCláusulas Contractuales Tipo (CCT) – Decisión 2021/914/UE
[HERRAMIENTAS_ANALÍTICA][DESCRIPCIÓN_SERVICIO_ANALÍTICA][PAÍS_ANALÍTICA][MECANISMO_ANALÍTICA]

El Encargado notificará al Responsable cualquier cambio previsto en la lista de subencargados (incorporación de nuevos subencargados o sustitución de los existentes) con una antelación mínima de treinta (30) días mediante comunicación escrita dirigida al correo electrónico asociado a la cuenta del Responsable. El Responsable podrá oponerse razonadamente a dicho cambio dentro del plazo indicado. En caso de no recibirse oposición expresa, se entenderá prestada la conformidad del Responsable.

El Encargado impondrá a todos los subencargados, mediante contrato escrito, las mismas obligaciones de protección de datos que las establecidas en el presente Acuerdo, respondiendo frente al Responsable del correcto cumplimiento por parte de dichos subencargados.

8. Notificación de brechas de seguridad

El Encargado notificará al Responsable, sin dilación indebida y, en todo caso, en un plazo máximo de 72 horas tras tener conocimiento de una violación de la seguridad de los datos personales, a fin de que el Responsable pueda cumplir con su obligación de notificación a la autoridad de control competente conforme al artículo 33 del RGPD, así como, en su caso, a los interesados afectados conforme al artículo 34 del mismo Reglamento.

La notificación se realizará por correo electrónico a la dirección asociada a la cuenta del Responsable y, adicionalmente, a través del panel de administración de la plataforma. La notificación deberá incluir, en la medida en que sea posible en el momento de la comunicación, la información prevista en el artículo 33.3 del RGPD:

  • La naturaleza de la violación de la seguridad de los datos personales, incluyendo, en la medida de lo posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.
  • El nombre y los datos de contacto del delegado de protección de datos u otro punto de contacto del Encargado donde pueda obtenerse más información.
  • Las posibles consecuencias de la violación de la seguridad de los datos personales.
  • Las medidas adoptadas o propuestas por el Encargado para poner remedio a la violación, incluidas, en su caso, las medidas adoptadas para mitigar sus posibles efectos negativos.

Si no fuera posible facilitar toda la información anterior de forma simultánea, el Encargado la proporcionará de forma escalonada, sin demoras injustificadas. El Encargado colaborará con el Responsable y le prestará toda la asistencia necesaria para la gestión y comunicación de la brecha de seguridad.

9. Transferencias internacionales de datos

Cualquier transferencia de datos personales a un tercer país o a una organización internacional se realizará únicamente cuando concurra alguno de los supuestos previstos en el Capítulo V del RGPD (artículos 44 a 49). Los mecanismos de transferencia actualmente aplicables son los siguientes:

  • Decisión de adecuación de la Comisión Europea: para transferencias a países o territorios respecto de los cuales la Comisión haya reconocido un nivel de protección adecuado mediante decisión de adecuación vigente.
  • Cláusulas Contractuales Tipo (CCT): adoptadas mediante la Decisión de Ejecución (UE) 2021/914 de la Comisión, de 4 de junio de 2021, para las transferencias hacia países sin decisión de adecuación, en particular las efectuadas a proveedores establecidos en los Estados Unidos (Stripe, Inc. y Vercel, Inc.).
  • Garantías adicionales: el Encargado aplica, con carácter suplementario a las CCT, medidas técnicas como el cifrado de datos en tránsito y en reposo, y medidas organizativas como la evaluación periódica del marco legal del país de destino.

Los países a los que se transfieren datos en el marco del presente Acuerdo son, a la fecha de su celebración: Unión Europea (infraestructura principal de Supabase), Estados Unidos (Stripe y Vercel) y [PAÍSES_ADICIONALES_TRANSFERENCIAS]. El Encargado actualizará esta información cuando se produzcan cambios relevantes en la cadena de subencargados o en los mecanismos de transferencia aplicables.

10. Vigencia y terminación

La vigencia del presente Acuerdo coincide con la duración de la suscripción activa del Responsable al servicio LeadScout. El Acuerdo se extinguirá automáticamente en cualquiera de los supuestos de terminación del contrato de suscripción, ya sea por vencimiento del período contratado, resolución por incumplimiento, baja voluntaria del Responsable o cese de la actividad del Encargado.

Tras la terminación del Acuerdo por cualquier causa, el Encargado procederá, a elección del Responsable comunicada de forma fehaciente:

  • Devolución de datos: el Encargado pondrá a disposición del Responsable un archivo exportable con todos los datos personales asociados a su cuenta en un formato estándar y legible por máquina (CSV o JSON), dentro de los treinta (30) días naturales siguientes a la fecha de terminación.
  • Supresión de datos: el Encargado procederá a la eliminación segura e irrecuperable de todos los datos personales del Responsable almacenados en sus sistemas, incluidas las copias de seguridad, en un plazo máximo de treinta (30) días naturales desde la fecha de terminación, salvo que el Derecho de la Unión o de los Estados miembros exija la conservación de los datos por un período determinado.

Una vez ejecutada la devolución o supresión de los datos, el Encargado remitirá al Responsable una certificación escrita que acredite dicho cumplimiento. La ausencia de instrucción expresa del Responsable en el plazo de treinta (30) días desde la terminación facultará al Encargado para proceder a la supresión de los datos.

11. Fecha de entrada en vigor

El presente Acuerdo de Tratamiento de Datos entra en vigor el día [FECHA_VIGENCIA] y sustituye a cualquier acuerdo previo de tratamiento de datos celebrado entre las partes en relación con los servicios de LeadScout.

Las modificaciones sustanciales del presente Acuerdo serán notificadas al Responsable con una antelación mínima de treinta (30) días antes de su entrada en vigor, mediante correo electrónico dirigido a la dirección registrada en la cuenta. El uso continuado del servicio tras dicho plazo implicará la aceptación de las modificaciones introducidas. En caso de disconformidad, el Responsable podrá resolver el contrato de suscripción dentro del citado plazo sin penalización alguna.

El presente Acuerdo se rige por el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (RGPD), la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), y demás normativa de protección de datos aplicable en España y en la Unión Europea.

Para cualquier cuestión relativa al presente Acuerdo, las partes podrán dirigirse a: [EMAIL_PROTECCION_DATOS].