Acuerdo de Tratamiento de Datos (DPA)
Data Processing Agreement — CartFlux
Última actualización: mayo 2026 · Versión: 1.0
Partes
Encargado del tratamiento (Processor):
NOVA CRAFT STUDIO SRL («CartFlux») CUI: 54452722 Número de registro: J2026023506000 Domicilio social: București, Sector 1, Strada Pitar Moș Nr. 27
Correo electrónico: contact@cartflux.eu
Responsable del tratamiento (Controller): El comerciante registrado en la plataforma CartFlux, cuyos datos de identificación constan en la cuenta.
1. Contexto y finalidad
El presente Acuerdo de Tratamiento de Datos («DPA») regula las condiciones en las que CartFlux, como encargado del tratamiento, trata datos personales en nombre del Comerciante, como responsable del tratamiento, en el contexto de la prestación de los servicios de la plataforma CartFlux.
El presente DPA forma parte integrante de los Términos y Condiciones CartFlux y se aplica conforme al Art. 28 del Reglamento (UE) 2016/679 (RGPD).
2. Datos tratados
2.1 Categorías de datos
CartFlux trata en nombre del Comerciante las siguientes categorías de datos personales de los clientes finales de la tienda:
- Nombre y apellidos
- Dirección de correo electrónico
- Dirección de entrega (calle, ciudad, provincia, código postal, país)
- Número de teléfono (cuando se proporcione)
- Historial de pedidos (productos, cantidades, precios, estado)
- Datos de sesión de la cuenta del cliente (cuando el cliente final crea una cuenta en la tienda)
2.2 Categorías de interesados
Clientes finales que realizan pedidos o crean cuentas en las tiendas operadas por el Comerciante en la plataforma CartFlux.
2.3 Finalidad del tratamiento
El tratamiento se realiza exclusivamente para:
- Procesar y gestionar los pedidos de la tienda del Comerciante
- Prestar las funcionalidades de la plataforma (panel de pedidos, clientes, estadísticas)
- Enviar correos electrónicos transaccionales relacionados con los pedidos
- Emitir facturas mediante SmartBill (cuando esté activado por el Comerciante)
3. Obligaciones de CartFlux (Encargado)
CartFlux se obliga a:
3.1 Instrucciones documentadas
Tratar los datos personales exclusivamente sobre la base de las instrucciones documentadas del Comerciante, salvo que la legislación de la UE o rumana imponga lo contrario.
3.2 Confidencialidad
Garantizar que las personas autorizadas para tratar los datos se comprometan a respetar la confidencialidad o estén sujetas a una obligación legal adecuada de confidencialidad.
3.3 Seguridad
Implementar medidas técnicas y organizativas adecuadas para proteger los datos, incluidas:
- Cifrado en tránsito (HTTPS/TLS)
- Cifrado en reposo para datos sensibles
- Control de acceso basado en roles (RLS)
- Monitorización y detección de incidentes (Sentry)
- Copia de seguridad periódica de los datos
3.4 Subencargados
No contratar otros subencargados sin informar previamente al Comerciante. La lista actual de subencargados está disponible en la Política de Privacidad CartFlux. El Comerciante acepta la utilización de los subencargados listados mediante la aceptación del presente DPA.
3.5 Derechos de los interesados
Asistir al Comerciante en el cumplimiento de la obligación de responder a las solicitudes relativas al ejercicio de los derechos de los interesados (acceso, rectificación, supresión, portabilidad, etc.), en la medida de los datos disponibles en la plataforma.
3.6 Asistencia para obligaciones RGPD
Asistir al Comerciante en garantizar el cumplimiento de las obligaciones relativas a:
- Seguridad del tratamiento (Art. 32 RGPD)
- Notificación de violaciones de seguridad (Art. 33-34 RGPD)
- Evaluaciones de impacto (EIPD) cuando sean necesarias (Art. 35 RGPD)
3.7 Notificación de incidentes
Notificar al Comerciante sin demoras indebidas y, como máximo, en un plazo de 72 horas tras tener constancia de una violación de la seguridad de los datos personales.
3.8 Supresión de datos
Al cesar los servicios, suprimir o devolver todos los datos personales conforme a las instrucciones del Comerciante, salvo que la legislación imponga su conservación.
3.9 Auditoría
Poner a disposición del Comerciante toda la información necesaria para demostrar el cumplimiento de las obligaciones previstas en el Art. 28 RGPD.
4. Obligaciones del Comerciante (Responsable)
El Comerciante, como responsable del tratamiento, se obliga a:
- Garantizar que el tratamiento de datos a través de CartFlux tiene base legal conforme al RGPD
- Informar a los clientes finales sobre el tratamiento de datos (política de privacidad propia en la tienda)
- Obtener los consentimientos necesarios de los clientes finales cuando sea aplicable
- Notificar a CartFlux inmediatamente si detecta una violación de la seguridad de los datos
- No transmitir a CartFlux datos de categorías especiales (Art. 9 RGPD) sin acuerdo previo explícito
5. Subencargados (Sub-processors)
CartFlux utiliza los siguientes subencargados para la prestación de los servicios:
| Subencargado | Función | Ubicación | DPA/Garantías |
|---|---|---|---|
| Supabase Inc. | Base de datos, autenticación | UE (AWS Frankfurt) | DPA disponible |
| Vercel Inc. | Alojamiento de la aplicación | UE/EE.UU. | DPA disponible |
| Stripe Inc. | Procesamiento de pagos | UE/EE.UU. | DPA disponible |
| Resend Inc. | Correo electrónico transaccional | UE/EE.UU. | DPA disponible |
| Functional Software (Sentry) | Monitorización de errores | UE/EE.UU. | DPA disponible |
| SmartBill SRL | Facturación electrónica | Rumanía | DPA disponible |
CartFlux informará al Comerciante sobre cualquier cambio planificado relativo a la adición o sustitución de subencargados, ofreciendo al Comerciante la posibilidad de formular objeciones.
6. Transferencias internacionales
Algunos subencargados pueden procesar datos fuera del Espacio Económico Europeo (EEE). CartFlux garantiza que dichas transferencias se realizan con garantías adecuadas, conforme al Capítulo V del RGPD (Cláusulas Contractuales Tipo, decisiones de adecuación de la Comisión Europea).
7. Duración y terminación
El presente DPA es válido durante la vigencia del contrato de servicios CartFlux. Al terminar el contrato, CartFlux suprimirá los datos de los clientes finales del Comerciante en un plazo de 30 días, salvo los datos cuya conservación esté impuesta por ley.
8. Responsabilidad
La responsabilidad de cada parte frente a la otra en virtud del presente DPA se limita conforme a las disposiciones de los Términos y Condiciones CartFlux. Cada parte responde ante las autoridades de control y los interesados conforme a su rol (responsable / encargado) establecido por el RGPD.
9. Ley aplicable
El presente DPA se rige por la legislación rumana y el Reglamento (UE) 2016/679 (RGPD). Cualquier litigio se resolverá conforme a las disposiciones de los Términos y Condiciones CartFlux.
10. Contacto para cuestiones de protección de datos
NOVA CRAFT STUDIO SRL Responsable de protección de datos: Doiciu Irinel
Correo electrónico: contact@cartflux.eu Dirección: București, Sector 1, Strada Pitar Moș Nr. 27
Al aceptar los Términos y Condiciones CartFlux, el Comerciante acepta también el presente Acuerdo de Tratamiento de Datos, que pasa a formar parte integrante de la relación contractual entre las partes.