Acuerdo de Encargo del Tratamiento de Datos (DPA)
Última actualización: diciembre de 2025
Este Acuerdo de Encargo del Tratamiento de Datos (“DPA”) forma parte de y está sujeto al contrato principal de servicios y/o a los Términos de Servicio (el “Acuerdo”) entre:
- Ampliro AB, n.º reg. 559488-1517, Warfvinges väg 31, 112 51 Stockholm, Sweden, actuando en nombre de y como proveedor de la plataforma Diplino disponible en diplino.com (“Diplino”, el “Servicio”, el Encargado del Tratamiento), y
- El cliente identificado en el Acuerdo (el Responsable del Tratamiento).
Este DPA establece los términos bajo los cuales Ampliro trata Datos Personales en nombre del Responsable del Tratamiento en relación con la prestación de los servicios de gestión de certificados y credenciales de Diplino.
En caso de conflicto entre este DPA y el Acuerdo en relación con el tratamiento de Datos Personales, este DPA prevalecerá en la medida de dicho conflicto.
1. Definiciones
A efectos de este DPA, los siguientes términos tendrán los significados establecidos a continuación. Los términos no definidos en este DPA tendrán el significado que se les atribuya en el Acuerdo o en virtud de la Normativa Aplicable de Protección de Datos.
-
“Normativa Aplicable de Protección de Datos” significa todas las leyes y reglamentos de protección de datos y privacidad aplicables al tratamiento de Datos Personales en virtud de este DPA, incluido, cuando sea aplicable, el Reglamento General de Protección de Datos de la UE (Reglamento (UE) 2016/679 – “GDPR”), el UK GDPR y cualquier legislación nacional de aplicación.
-
“Responsable del Tratamiento” significa la entidad que determina los fines y medios del tratamiento de Datos Personales.
-
“Encargado del Tratamiento” significa la entidad que trata Datos Personales por cuenta del Responsable del Tratamiento.
-
“Datos Personales” significa toda información sobre una persona física identificada o identificable (“Interesado”).
-
“Tratamiento”, “Interesado”, “Violación de la Seguridad de los Datos Personales”, “Autoridad de Control”, “Subencargado del Tratamiento”, “Tercer País” y otros términos en mayúscula tendrán el significado que se les atribuye en el GDPR.
-
“Servicios” significa los servicios de gestión de certificados y credenciales de Diplino prestados por Ampliro al Responsable del Tratamiento en virtud del Acuerdo.
2. Funciones de las Partes
2.1 Responsable del Tratamiento y Encargado del Tratamiento
Para el Tratamiento de Datos Personales descrito en este DPA, el Responsable del Tratamiento es el “responsable del tratamiento” y Ampliro es el “encargado del tratamiento” en el sentido de la Normativa Aplicable de Protección de Datos.
2.2 Actividades como responsable independiente del tratamiento
El Responsable del Tratamiento reconoce que Ampliro puede tratar determinados Datos Personales como responsable independiente del tratamiento para sus propios fines legítimos, como facturación y emisión de facturas, cumplimiento de obligaciones legales, mantenimiento de registros de seguridad, prevención del fraude y analíticas del servicio, según se describe en la Política de Privacidad de Ampliro/Diplino. Dicho tratamiento queda fuera del ámbito de este DPA y se rige por los avisos de privacidad aplicables.
3. Objeto, naturaleza, finalidad y duración del Tratamiento
3.1 Objeto
Ampliro tratará Datos Personales en nombre del Responsable del Tratamiento en relación con la prestación de los Servicios Diplino, incluida la creación, gestión, almacenamiento y verificación de certificados y credenciales digitales.
3.2 Naturaleza y finalidad del Tratamiento
Las actividades de Tratamiento incluyen, según sea necesario para prestar y apoyar los Servicios:
- Generar, emitir y gestionar certificados y credenciales digitales;
- Almacenar y gestionar información de participantes y destinatarios;
- Proporcionar funcionalidad de verificación y validación de certificados;
- Gestionar cuentas y funciones de usuario (p. ej., administradores, instructores, emisores);
- Enviar notificaciones por correo electrónico relacionadas con certificados y el Servicio (p. ej., emisión, actualizaciones o recordatorios);
- Proporcionar soporte, mantenimiento, resolución de problemas y supervisión de seguridad;
- Alojamiento, copia de seguridad, registro y operaciones técnicas necesarias para prestar el Servicio.
3.3 Duración del Tratamiento
El Tratamiento comenzará en la Fecha de Entrada en Vigor del Acuerdo y continuará mientras Ampliro preste los Servicios al Responsable del Tratamiento y durante cualquier período de conservación exigido o permitido en virtud del Acuerdo o la Normativa Aplicable de Protección de Datos. Tras la terminación o expiración del Acuerdo, el Tratamiento cesará y los Datos Personales serán suprimidos o devueltos de conformidad con la Sección 12 de este DPA.
4. Categorías de Interesados y tipos de Datos Personales
4.1 Categorías de Interesados
Los Datos Personales tratados por Ampliro en nombre del Responsable del Tratamiento pueden referirse a las siguientes categorías de Interesados:
- Destinatarios de certificados (p. ej., participantes en cursos, alumnos, empleados, contratistas) cuyos certificados son emitidos por el Responsable del Tratamiento a través de Diplino;
- Usuarios de la organización Diplino del Responsable del Tratamiento (p. ej., administradores, instructores, emisores);
- Otras personas cuya información pueda aparecer en certificados o dentro de metadatos, según determine el Responsable del Tratamiento.
4.2 Tipos de Datos Personales
Los Datos Personales tratados pueden incluir, entre otros:
- Datos de identificación y contacto:
- Nombre, dirección de correo electrónico (opcional según la configuración del Responsable del Tratamiento);
- Información profesional:
- Nombre de empresa/organización, departamento, cargo o función;
- Datos de certificados y credenciales:
- Detalles del certificado (p. ej., nombre del curso, estado de finalización, fecha de emisión, fecha de caducidad, identificadores únicos de certificado);
- Datos de verificación y validación (p. ej., firmas criptográficas, hashes, registros de verificación);
- Datos de cuenta y uso:
- Función de usuario dentro de la organización Diplino del Responsable del Tratamiento (p. ej., admin, instructor);
- ID de usuario, marcas temporales de inicio de sesión y registros de actividad dentro del Servicio;
- Datos técnicos y de seguridad:
- Dirección IP, tipo de navegador, ubicación aproximada (basada en la IP), registros de seguridad y registros de auditoría relativos a acceso y cambios.
El Responsable del Tratamiento se compromete a no introducir intencionadamente en el Servicio categorías especiales de Datos Personales (artículo 9 GDPR) ni Datos Personales relativos a condenas e infracciones penales (artículo 10 GDPR), salvo que se acuerde explícitamente por escrito con Ampliro y sujeto a garantías adicionales.
5. Obligaciones del Encargado del Tratamiento
Ampliro, actuando como Encargado del Tratamiento, deberá:
5.1 Instrucciones
Tratar Datos Personales únicamente siguiendo instrucciones documentadas del Responsable del Tratamiento, incluso en relación con transferencias de Datos Personales a un Tercer País, salvo que esté obligado a ello por el Derecho de la UE o de un Estado miembro u otra Normativa Aplicable de Protección de Datos. En tal caso, Ampliro informará al Responsable del Tratamiento de ese requisito legal antes del Tratamiento, salvo que la ley prohíba dicha información.
5.2 Confidencialidad
Asegurar que las personas autorizadas para tratar Datos Personales se hayan comprometido a obligaciones de confidencialidad adecuadas o estén sujetas a una obligación legal de confidencialidad adecuada.
5.3 Seguridad del Tratamiento
Implementar y mantener medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad adecuado al riesgo, según se describe con más detalle en la Sección 8 y en el Anexo 1 – Medidas Técnicas y Organizativas.
5.4 Asistencia con los derechos de los Interesados
Teniendo en cuenta la naturaleza del Tratamiento, asistir al Responsable del Tratamiento mediante medidas técnicas y organizativas adecuadas, en la medida de lo posible, para el cumplimiento de la obligación del Responsable del Tratamiento de responder a solicitudes de ejercicio de los derechos de los Interesados en virtud de la Normativa Aplicable de Protección de Datos (véase la Sección 10).
5.5 Asistencia con el cumplimiento
Asistir al Responsable del Tratamiento para garantizar el cumplimiento de las obligaciones previstas en los artículos 32 a 36 GDPR (o disposiciones equivalentes en virtud de otra Normativa Aplicable de Protección de Datos), teniendo en cuenta la naturaleza del Tratamiento y la información disponible para Ampliro, incluso en relación con seguridad, evaluaciones de impacto relativas a la protección de datos y consultas con autoridades de control.
5.6 Registros e información
Poner a disposición del Responsable del Tratamiento toda la información razonablemente necesaria para demostrar el cumplimiento de este DPA y de la Normativa Aplicable de Protección de Datos, y permitir y contribuir a auditorías e inspecciones según se describe en la Sección 11.
5.7 Supresión y devolución de datos
Tras la terminación o expiración de los Servicios, suprimir o devolver todos los Datos Personales tratados en nombre del Responsable del Tratamiento de conformidad con la Sección 12, salvo que la conservación sea exigida por la Normativa Aplicable de Protección de Datos.
6. Obligaciones del Responsable del Tratamiento
El Responsable del Tratamiento deberá:
- Asegurarse de que cuenta con una base jurídica válida para el Tratamiento de Datos Personales y para la contratación de Ampliro como Encargado del Tratamiento de conformidad con la Normativa Aplicable de Protección de Datos;
- Asegurarse de que todos los avisos de privacidad necesarios se han proporcionado a los Interesados y, cuando se requiera, se han obtenido los consentimientos;
- No instruir a Ampliro para que trate Datos Personales de una forma que infrinja la Normativa Aplicable de Protección de Datos;
- Ser responsable de la exactitud, calidad y licitud de los Datos Personales proporcionados a Ampliro y de cómo el Responsable del Tratamiento decida utilizar los Servicios.
7. Subencargados del Tratamiento
7.1 Subencargados del Tratamiento autorizados
El Responsable del Tratamiento concede a Ampliro una autorización general para contratar Subencargados del Tratamiento para el Tratamiento de Datos Personales en nombre del Responsable del Tratamiento, siempre que Ampliro:
- Se asegure de que cada Subencargado del Tratamiento esté vinculado por obligaciones escritas de protección de datos que no sean menos protectoras que las establecidas en este DPA; y
- Siga siendo plenamente responsable ante el Responsable del Tratamiento del cumplimiento de las obligaciones del Subencargado del Tratamiento.
7.2 Subencargados del Tratamiento actuales
La lista actual de Subencargados del Tratamiento utilizados en relación con los Servicios está disponible en:
Esta lista puede actualizarse periódicamente.
7.3 Cambios en los Subencargados del Tratamiento
Ampliro proporcionará aviso de cualquier cambio previsto en los Subencargados del Tratamiento (por ejemplo, actualizando la Lista de Subencargados del Tratamiento y/o a través del Servicio o por correo electrónico). El Responsable del Tratamiento puede oponerse a dichos cambios por motivos razonables de protección de datos. Si el Responsable del Tratamiento se opone razonablemente y las partes no pueden alcanzar una solución mutuamente aceptable, el Responsable del Tratamiento podrá terminar los Servicios afectados de conformidad con el Acuerdo.
8. Transferencias internacionales de datos
8.1 Transferencias
En la medida en que Ampliro o sus Subencargados del Tratamiento transfieran Datos Personales desde el EEE, el Reino Unido o Suiza a un Tercer País, dicha transferencia se realizará de conformidad con la Normativa Aplicable de Protección de Datos, incluyendo, cuando proceda:
- El uso de las Cláusulas Contractuales Tipo de la Comisión Europea (SCCs) para la transferencia de Datos Personales a Terceros Países; y/o
- Cualquier mecanismo de transferencia equivalente o sustitutivo reconocido por la Normativa Aplicable de Protección de Datos (p. ej., el UK International Data Transfer Addendum).
8.2 Garantías adicionales
Ampliro, previa solicitud por escrito, proporcionará al Responsable del Tratamiento información sobre los mecanismos de transferencia establecidos para escenarios de transferencia relevantes y, cuando sea necesario, celebrará acuerdos suplementarios e implementará garantías adecuadas.
9. Medidas de seguridad
Ampliro implementará y mantendrá medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad adecuado al riesgo, teniendo en cuenta la naturaleza, el alcance, el contexto y los fines del Tratamiento, así como los riesgos de probabilidad y gravedad variables para los derechos y libertades de los Interesados. Estas medidas incluyen, entre otras, las descritas en el Anexo 1 – Medidas Técnicas y Organizativas, y pueden incluir:
- Cifrado de datos en reposo y en tránsito (p. ej., TLS 1.3 para datos en tránsito);
- Uso de firmas criptográficas robustas (p. ej., Ed25519) para la integridad y verificación de certificados;
- Controles de acceso, autenticación y principios de mínimo privilegio para personal y componentes de sistema;
- Supervisión de seguridad regular, registro y auditoría de acceso a Datos Personales;
- Prácticas seguras de desarrollo e implementación de software.
Ampliro puede actualizar sus medidas técnicas y organizativas periódicamente, siempre que dichas actualizaciones no reduzcan materialmente el nivel general de protección.
10. Notificación de Violación de la Seguridad de los Datos Personales
En caso de una Violación de la Seguridad de los Datos Personales que afecte a Datos Personales tratados en nombre del Responsable del Tratamiento, Ampliro deberá:
- Notificar al Responsable del Tratamiento sin dilación indebida tras tener conocimiento de la Violación de la Seguridad de los Datos Personales y, cuando sea viable, a más tardar en un plazo de 72 horas; y
- Proporcionar información razonablemente disponible para Ampliro sobre:
- La naturaleza de la Violación de la Seguridad de los Datos Personales;
- Las categorías y el número aproximado de Interesados y registros de Datos Personales afectados;
- Las consecuencias probables de la Violación de la Seguridad de los Datos Personales;
- Las medidas adoptadas o propuestas para abordar la Violación de la Seguridad de los Datos Personales y mitigar posibles efectos adversos.
Ampliro cooperará con el Responsable del Tratamiento y adoptará medidas razonables para asistir al Responsable del Tratamiento en el cumplimiento de cualquier obligación de notificar a autoridades de control o Interesados en virtud de la Normativa Aplicable de Protección de Datos.
11. Derechos de los Interesados
Teniendo en cuenta la naturaleza del Tratamiento, Ampliro asistirá al Responsable del Tratamiento mediante medidas técnicas y organizativas adecuadas, en la medida de lo posible, en el cumplimiento de la obligación del Responsable del Tratamiento de responder a solicitudes de ejercicio de los derechos de los Interesados, incluidos:
- Derecho de acceso (artículo 15 GDPR);
- Derecho de rectificación (artículo 16 GDPR);
- Derecho de supresión (artículo 17 GDPR);
- Derecho a la limitación del tratamiento (artículo 18 GDPR);
- Derecho a la portabilidad de los datos (artículo 20 GDPR);
- Derecho de oposición (artículo 21 GDPR).
Si un Interesado contacta directamente con Ampliro con una solicitud relacionada con Datos Personales tratados en virtud de este DPA, Ampliro, en la medida permitida por la ley, informará al Interesado de que la solicitud debe dirigirse al Responsable del Tratamiento pertinente y remitirá prontamente dicha solicitud al Responsable del Tratamiento.
12. Derechos de auditoría e inspección
12.1 Documentación e información
Ampliro pondrá a disposición del Responsable del Tratamiento información razonablemente necesaria para demostrar el cumplimiento de sus obligaciones en virtud de este DPA y de la Normativa Aplicable de Protección de Datos, que puede incluir:
- Documentación que describa medidas técnicas y organizativas relevantes;
- Documentación estándar de seguridad y/o certificaciones de terceros (si están disponibles).
12.2 Auditorías
Cuando dicha documentación no sea suficiente para demostrar el cumplimiento, el Responsable del Tratamiento podrá, a su propio coste y sujeto a aviso razonable (al menos 30 días), llevar a cabo o encargar una auditoría, incluidas inspecciones, de las instalaciones, sistemas y documentación relevante de Ampliro, limitada a lo necesario para verificar el cumplimiento por Ampliro de este DPA. Cualquier auditoría deberá:
- Realizarse durante el horario laboral normal;
- No interferir de forma irrazonable con las operaciones de Ampliro;
- Estar sujeta a obligaciones de confidencialidad adecuadas;
- Limitarse a una vez cada 12 meses, salvo que la Normativa Aplicable de Protección de Datos exija auditorías más frecuentes tras una Violación de la Seguridad de los Datos Personales o en virtud de requisitos específicos de una autoridad de control.
13. Supresión y devolución de Datos Personales
13.1 Tras la terminación
Tras la terminación o expiración del Acuerdo, o previa solicitud por escrito del Responsable del Tratamiento, Ampliro deberá:
- Suprimir o anonimizar los Datos Personales tratados en nombre del Responsable del Tratamiento; o
- Devolver los Datos Personales al Responsable del Tratamiento en un formato electrónico de uso común, si así se solicita y es técnicamente viable,
salvo que Ampliro esté obligada por la Normativa Aplicable de Protección de Datos a conservar algunos o todos los Datos Personales durante un período más largo (por ejemplo, con fines legales, fiscales o contables).
13.2 Copias de seguridad y registros
Los Datos Personales almacenados en copias de seguridad o registros archivados estarán protegidos de forma segura y, cuando sea viable, se sobrescribirán o suprimirán de conformidad con los ciclos estándar de copia de seguridad y conservación de Ampliro.
13.3 Datos agregados y anonimizados
Nada en este DPA impedirá a Ampliro conservar o utilizar datos anonimizados o agregados que no puedan utilizarse para identificar a una persona, de conformidad con la Normativa Aplicable de Protección de Datos.
14. Miscelánea
14.1 Limitación de responsabilidad
Cualquier limitación de responsabilidad acordada entre las partes en el Acuerdo se aplicará también a este DPA, en la medida permitida por la Normativa Aplicable de Protección de Datos.
14.2 Divisibilidad
Si cualquier disposición de este DPA se considera inválida o inexigible, las disposiciones restantes permanecerán en pleno vigor y efecto.
14.3 Ley aplicable y jurisdicción
Este DPA se regirá e interpretará de conformidad con la ley aplicable y la jurisdicción indicadas en el Acuerdo, salvo cuando la Normativa Aplicable de Protección de Datos exija lo contrario.
15. Contacto
Para consultas relacionadas con protección de datos y privacidad relativas a este DPA o al tratamiento de Datos Personales por Ampliro en relación con Diplino, el Responsable del Tratamiento puede contactar con:
- Correo electrónico: privacy@diplino.com
- Dirección postal:
Ampliro AB
Attn: Privacy / Diplino
Warfvinges väg 31
112 51 Stockholm
Sweden
Anexo 1 – Medidas Técnicas y Organizativas
Sin perjuicio de la obligación de Ampliro de implementar medidas adecuadas en virtud del artículo 32 GDPR y otra Normativa Aplicable de Protección de Datos, las siguientes medidas ilustran garantías clave implementadas en relación con el Servicio Diplino:
-
Cifrado y criptografía
- Cifrado de datos en tránsito utilizando protocolos estándar del sector (p. ej., TLS 1.3 o equivalente).
- Cifrado de datos en reposo en bases de datos y sistemas de almacenamiento subyacentes.
- Uso de firmas criptográficas robustas (p. ej., Ed25519) para la firma y verificación de certificados, asegurando integridad y autenticidad.
-
Control de acceso y gestión de identidad
- Control de acceso basado en funciones (RBAC) dentro del Servicio para restringir el acceso a Datos Personales en función de las funciones de usuario (p. ej., admin, instructor).
- Mecanismos de autenticación fuerte para acceso administrativo.
- Principio de mínimo privilegio aplicado al personal interno y a sistemas que acceden a Datos Personales.
-
Seguridad de red e infraestructura
- Uso de infraestructura en la nube segura y segmentación de red cuando proceda.
- Firewalls, grupos de seguridad y controles de red similares para proteger sistemas de producción.
- Aplicación regular de parches y actualizaciones de seguridad.
-
Registro, supervisión y auditoría
- Registro de auditoría de actividades de usuario y acceso relacionados con certificados y Datos Personales.
- Registro y supervisión centralizados de eventos de infraestructura para detección de anomalías y respuesta a incidentes.
- Conservación de registros de auditoría de acuerdo con necesidades de seguridad y cumplimiento.
-
Desarrollo y gestión de cambios
- Prácticas seguras de desarrollo de software, incluidas revisión de código, control de versiones y pruebas.
- Procesos de implementación controlados con acceso restringido a entornos de producción.
- Separación de entornos de desarrollo, staging y producción.
-
Medidas organizativas y formación
- Obligaciones de confidencialidad para empleados y contratistas con acceso a Datos Personales.
- Formación y concienciación del personal sobre prácticas de protección de datos y seguridad de la información.
- Políticas internas relativas a protección de datos, conservación y respuesta a incidentes.
-
Continuidad de negocio y copia de seguridad
- Copias de seguridad periódicas de datos y procedimientos de restauración probados para asegurar la disponibilidad e integridad del Servicio.
- Planes de continuidad de negocio y recuperación ante desastres para sistemas críticos.
-
Gestión de riesgos y revisiones
- Evaluaciones periódicas de riesgos de seguridad y riesgos de privacidad relacionados con el Servicio.
- Revisión y mejora de controles de seguridad a la luz de nuevos riesgos, prácticas del sector y requisitos legales.
Ampliro puede actualizar o perfeccionar estas medidas con el tiempo, siempre que dichos cambios no den lugar a una reducción material del nivel general de seguridad.