conforme al art. 28 del RGPD
Fecha: 8 de marzo de 2026
Este Acuerdo de Encargo de Tratamiento (en adelante, «AVV») se celebra entre:
Responsable del tratamiento (Cliente):
El usuario respectivo (en adelante, «Cliente») que se registra en emlyx y utiliza el Servicio.
Encargado del tratamiento (Proveedor):
PROXALY OÜ
Sepapaja tn 6, 15551 Tallinn, Estonia
Correo electrónico: info@proxaly.com
(en adelante, «Proveedor»)
El Cliente y el Proveedor se denominan en lo sucesivo individualmente «Parte» y conjuntamente «Partes».
Este AVV complementa las Condiciones Generales y la Política de Privacidad de emlyx y pasa a formar parte del contrato con el registro del Cliente.
1.1 El Proveedor trata datos personales por encargo del Cliente en el marco de la prestación del servicio de envío de correo electrónico «emlyx». El Proveedor actúa como encargado del tratamiento en el sentido del art. 28 del RGPD.
1.2 La duración del encargo de tratamiento corresponde a la vigencia del contrato principal (uso del Servicio conforme a las Condiciones Generales). El AVV finaliza automáticamente con la terminación del contrato principal, sin perjuicio de las obligaciones de eliminación conforme a la sección 9 de este AVV.
2.1 El tratamiento tiene como única finalidad la prestación del servicio de envío de correo electrónico, en particular:
2.2 El tratamiento se realiza exclusivamente en el marco de las instrucciones del Cliente (véase sección 5) y no sirve a ningún fin propio del Proveedor.
3.1 En el marco del encargo de tratamiento se tratan las siguientes categorías de datos personales:
3.2 Las categorías especiales de datos personales en el sentido del art. 9 del RGPD no son objeto del tratamiento. El Cliente está obligado a asegurarse de que no se traten categorías especiales de datos personales a través del Servicio, salvo que disponga de una base jurídica suficiente y de las medidas de protección correspondientes.
4.1 Las personas afectadas por el tratamiento son:
4.2 La determinación concreta de las personas afectadas corresponde al Cliente como responsable del tratamiento.
5.1 El Cliente es responsable, en el marco de este AVV, del cumplimiento de las disposiciones de protección de datos, en particular de la licitud del tratamiento de datos y de la salvaguarda de los derechos de las personas afectadas (arts. 12–22 del RGPD).
5.2 El Cliente imparte al Proveedor instrucciones relativas a la naturaleza, el alcance y el procedimiento del tratamiento de datos. Las instrucciones están recogidas en este AVV y en las Condiciones Generales. Las instrucciones individuales que excedan el tratamiento establecido en este AVV requieren la forma escrita (el correo electrónico es suficiente).
5.3 El Cliente tiene derecho a verificar el cumplimiento de las disposiciones de este AVV y de las normativas de protección de datos por parte del Proveedor (véase sección 8).
5.4 El Cliente informará al Proveedor de forma inmediata si detecta errores o irregularidades en el tratamiento de datos personales.
6.1 Vinculación a las instrucciones
El Proveedor tratará los datos personales exclusivamente conforme a las instrucciones documentadas del Cliente (art. 28, apartado 3, letra a) del RGPD), salvo que esté obligado a ello por el Derecho de la Unión o de un Estado miembro. En tal caso, el Proveedor informará al Cliente previamente sobre dicha obligación legal, a menos que el Derecho aplicable prohíba dicha comunicación por razones de interés público importante.
Si el Proveedor considera que una instrucción del Cliente infringe las disposiciones de protección de datos, deberá informárselo inmediatamente. El Proveedor está facultado para suspender la ejecución de la instrucción en cuestión hasta que el Cliente la confirme o la modifique.
6.2 Confidencialidad
El Proveedor garantiza que las personas autorizadas para tratar datos personales se han comprometido a respetar la confidencialidad o están sujetas a una obligación legal adecuada de secreto (art. 28, apartado 3, letra b) del RGPD).
6.3 Medidas técnicas y organizativas
El Proveedor adoptará todas las medidas técnicas y organizativas necesarias conforme al art. 32 del RGPD para la protección de los datos personales tratados. Las medidas concretas se describen en el Anexo 1 (Medidas técnicas y organizativas) de este AVV.
El Proveedor revisará periódicamente la eficacia de estas medidas y las adaptará, en caso necesario, al estado de la técnica. Las modificaciones son admisibles siempre que no se reduzca el nivel de protección.
6.4 Subencargados del tratamiento
La contratación de subencargados del tratamiento se rige por la sección 7 de este AVV.
6.5 Asistencia en el ejercicio de los derechos de las personas afectadas
El Proveedor asistirá al Cliente, en la medida de lo posible, mediante medidas técnicas y organizativas adecuadas en el cumplimiento de sus obligaciones de responder a las solicitudes de las personas afectadas para el ejercicio de sus derechos conforme al Capítulo III del RGPD (art. 28, apartado 3, letra e) del RGPD), en particular en relación con solicitudes de acceso, rectificación, supresión y portabilidad.
Si una persona afectada se dirige directamente al Proveedor con una solicitud, este la transmitirá al Cliente de forma inmediata.
6.6 Asistencia en las obligaciones de protección de datos
El Proveedor asistirá al Cliente, teniendo en cuenta la naturaleza del tratamiento y la información de que dispone, en el cumplimiento de las obligaciones establecidas en los arts. 32–36 del RGPD, en particular en relación con:
El Proveedor informará al Cliente de forma inmediata en cuanto tenga conocimiento de una violación de la seguridad de los datos personales.
6.7 Eliminación y devolución de datos
La eliminación y devolución de datos personales se rige por la sección 9 de este AVV.
6.8 Derechos de control e información
Los derechos de control e información del Cliente se rigen por la sección 8 de este AVV.
7.1 El Cliente otorga al Proveedor la autorización general por escrito para contratar a otros encargados del tratamiento (subencargados) para el cumplimiento de sus obligaciones contractuales (art. 28, apartado 2, del RGPD).
7.2 En el momento de la celebración de este AVV, el Proveedor emplea los siguientes subencargados del tratamiento:
| Subencargado | Dirección | Servicio | Ubicación |
|---|---|---|---|
| Resend, Inc. | 2261 Market Street #5039, San Francisco, CA 94114, EE. UU. | Entrega de correo electrónico | EE. UU. |
| Hetzner Online GmbH | Industriestr. 25, 91710 Gunzenhausen, Alemania | Alojamiento, infraestructura de servidores | Alemania / UE |
7.3 El Proveedor informará al Cliente sobre cualquier cambio previsto en relación con la incorporación o sustitución de subencargados del tratamiento. La información se proporcionará por correo electrónico o a través del panel de control con una antelación mínima de 14 días antes del cambio previsto.
7.4 El Cliente tiene derecho a oponerse al cambio previsto en un plazo de 14 días desde la recepción de la información. La oposición debe estar fundamentada objetivamente (en particular, motivos de protección de datos). Si el Cliente formula una oposición fundamentada, las Partes se esforzarán por alcanzar una solución consensuada. Si no se logra, el Cliente tendrá un derecho de rescisión extraordinario a partir del momento del cambio previsto.
7.5 El Proveedor se asegurará de que con cada subencargado del tratamiento se celebre un contrato que imponga, como mínimo, las mismas obligaciones de protección de datos que las establecidas en este AVV (art. 28, apartado 4, del RGPD). El Proveedor responderá ante el Cliente del cumplimiento de las obligaciones de protección de datos por parte del subencargado.
8.1 El Proveedor pondrá a disposición del Cliente toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el art. 28 del RGPD y permitirá las verificaciones – incluidas las inspecciones – realizadas por el Cliente o por un auditor designado por el Cliente (art. 28, apartado 3, letra h) del RGPD).
8.2 Las inspecciones in situ son posibles bajo las siguientes condiciones:
8.3 El Proveedor podrá presentar alternativamente certificaciones, informes de auditoría o acreditaciones actuales de organismos independientes, siempre que estos acrediten suficientemente el cumplimiento de las obligaciones de este AVV.
8.4 Los costes de una inspección correrán a cargo del Cliente, salvo que la inspección revele incumplimientos sustanciales del Proveedor respecto de este AVV.
9.1 Durante la vigencia del contrato, los datos tratados por encargo del Cliente se conservarán durante toda la duración de la relación contractual. Esto incluye en particular:
9.2 Tras la finalización del contrato principal, el Proveedor eliminará todos los datos personales tratados por encargo del Cliente en un plazo de 30 días, salvo que exista una obligación legal de conservación (art. 28, apartado 3, letra g) del RGPD).
9.3 El Cliente tiene la posibilidad de exportar sus datos a través del panel de control antes de la finalización del contrato. El Proveedor se esforzará – en la medida en que sea técnicamente posible – por conceder al Cliente un plazo de al menos 7 días tras la finalización del contrato para la exportación de datos.
9.4 La eliminación incluye también los datos almacenados por los subencargados del tratamiento. El Proveedor se asegurará de que los subencargados estén obligados a la eliminación dentro del plazo establecido.
9.5 El Proveedor confirmará al Cliente la eliminación completa por escrito, previa solicitud.
10.1 La transferencia de datos personales a un tercer país (fuera del EEE) o a una organización internacional solo tendrá lugar sobre la base de alguno de los supuestos contemplados en los arts. 44–49 del RGPD.
10.2 En la medida en que se utilice el subencargado Resend (EE. UU.), la transferencia de datos a los EE. UU. se realiza sobre la siguiente base:
10.3 El Proveedor se asegurará de que, en las transferencias de datos a terceros países, se garantice un nivel de protección de datos adecuado al nivel del RGPD. Se adoptarán medidas complementarias (p. ej., cifrado, seudonimización) cuando sea necesario.
10.4 En caso de que una Decisión de adecuación sea revocada o pierda su validez, el Proveedor garantizará de forma inmediata garantías alternativas conforme al art. 46 del RGPD o cesará la transferencia de datos.
11.1 Este AVV se rige por el Derecho de la República Federal de Alemania, en la medida en que disposiciones imperativas de protección de datos del Derecho de la Unión no prevalezcan.
11.2 En caso de contradicciones entre este AVV y las Condiciones Generales u otros acuerdos entre las Partes, las disposiciones de este AVV prevalecerán en lo que respecta a la protección de datos personales.
11.3 En caso de que alguna disposición de este AVV resulte inválida o inaplicable, la validez de las demás disposiciones no se verá afectada. Las Partes sustituirán la disposición inválida por una regulación que se aproxime lo más posible a la finalidad de protección de datos de la disposición inválida.
11.4 Las modificaciones y adiciones a este AVV requieren la forma escrita (el correo electrónico es suficiente). No existen acuerdos verbales complementarios.
11.5 Este AVV entra en vigor con el registro del Cliente en emlyx.
conforme al art. 32 del RGPD
1. Confidencialidad (art. 32, apartado 1, letra b) del RGPD)
1.1 Control de acceso
1.2 Control de separación
2. Integridad (art. 32, apartado 1, letra b) del RGPD)
2.1 Control de transmisión
2.2 Control de entrada
3. Disponibilidad y resiliencia (art. 32, apartado 1, letras b) y c) del RGPD)
4. Procedimiento de verificación periódica (art. 32, apartado 1, letra d) del RGPD)