Acuerdo de tratamiento de datos 

Fecha de entrada en vigor: 28/3/2026

Acuerdo de Tratamiento de Datos (DPA)

Este Acuerdo de Tratamiento de Datos (“DPA”) se celebra entre:

  • Responsable del tratamiento: La entidad Cliente identificada en las Condiciones de Servicio o en el Plan de Suscripción de Bomdiu aplicables (en adelante, “Responsable” o “usted”); y
  • Encargado del tratamiento: Bomdiu SINGLE MEMBER PC, una sociedad registrada en Grecia (GEMI: 190310106000, NIF intracomunitario: EL803131996), con domicilio social en Geor. Gennimata 21, 555 35 Tesalónica, Grecia (en adelante, “Encargado”, “Bomdiu”, “nosotros” o “nuestro”).

Denominados conjuntamente las “Partes”.

Este DPA complementa y forma parte del acuerdo entre las Partes para la prestación de la plataforma B2B de Bomdiu para el sector de alimentos y bebidas, conforme a las Condiciones de Servicio (el “Acuerdo”). En caso de conflicto entre este DPA y el Acuerdo, prevalecerá este DPA en lo relativo a las cuestiones de protección de datos.

1. Definiciones

Los términos no definidos en el presente documento tendrán el significado que se les atribuye en el Acuerdo o en el Reglamento (UE) 2016/679 (“RGPD”).

  • “Datos Personales”: Toda información relativa a una persona física identificada o identificable que sea tratada por el Encargado por cuenta del Responsable en relación con el Servicio.
  • “Tratamiento”: Cualquier operación o conjunto de operaciones realizadas sobre Datos Personales, tal como se define en el art. 4, apartado 2, del RGPD.
  • “Subencargado”: Cualquier tercero contratado por el Encargado para tratar Datos Personales por cuenta del Responsable.
  • “Violación de Datos”: Una violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de Datos Personales transmitidos, conservados o tratados de otro modo, o la comunicación o acceso no autorizados a dichos datos.
  • “CCT”: Las Cláusulas Contractuales Tipo para la transferencia de datos personales a terceros países, adoptadas por la Comisión Europea.
  • “Legislación Aplicable en Materia de Protección de Datos”: El RGPD, la Ley Helénica de Protección de Datos (Law 4624/2019) y cualquier otra legislación de protección de datos aplicable de la UE o de los Estados miembros.

2. Alcance y finalidad del tratamiento

2.1. Objeto

El Encargado trata Datos Personales por cuenta del Responsable para proporcionar la plataforma B2B de Bomdiu para el sector de alimentos y bebidas, incluyendo la gestión de pedidos, la gestión de catálogos, la sincronización de datos, la inteligencia empresarial y el procesamiento de documentos asistido por IA.

2.2. Duración

El tratamiento se mantendrá durante la vigencia del Acuerdo. Tras la resolución, se aplicarán las disposiciones de la Sección 11 de este DPA.

2.3. Naturaleza y finalidad del tratamiento

El Encargado trata Datos Personales para las siguientes finalidades:

  • Alojamiento y operación de la plataforma y sus funcionalidades
  • Facilitación de pedidos y comunicaciones entre Proveedores y Compradores
  • Sincronización de datos con Servicios Conectados (p. ej., sistemas ERP)
  • Extracción y organización de datos empresariales a partir de documentos (facturas, pedidos, catálogos) asistida por IA
  • Provisión de funcionalidades de análisis e inteligencia empresarial
  • Envío de correos electrónicos transaccionales (confirmaciones de pedido, notificaciones)
  • Prestación de atención al cliente

2.4. Tipos de Datos Personales

  • Información de contacto: nombres, direcciones de correo electrónico, números de teléfono, direcciones de entrega
  • Información de empleados/personal: nombres, cargos, funciones dentro de la plataforma
  • Datos de pedidos y transacciones: historiales de pedidos, mensajes de chat entre Proveedor y Comprador
  • Identificadores técnicos: direcciones IP (procesadas de forma transitoria), credenciales de cuenta (con hash)

2.5. Categorías de interesados

  • Empleados y colaboradores del Responsable (Usuarios Autorizados)
  • Personas de contacto de los clientes (Compradores) o proveedores (Proveedores) del Responsable
  • Personal de reparto y contactos logísticos

3. Obligaciones del Responsable

El Responsable deberá:

  1. Asegurar que sus instrucciones para el tratamiento de Datos Personales cumplan con la Legislación Aplicable en Materia de Protección de Datos.
  2. Haber obtenido todos los consentimientos necesarios o establecido una base jurídica legítima para el tratamiento de los Datos Personales proporcionados al Encargado.
  3. Informar al Encargado sin dilación indebida de cualquier solicitud de ejercicio de derechos de los interesados que reciba directamente, en la medida en que se refieran a las actividades de tratamiento del Encargado.
  4. Ser el único responsable de la exactitud, calidad y licitud de los Datos Personales proporcionados al Encargado.

4. Obligaciones del Encargado

4.1. Instrucciones de tratamiento

El Encargado tratará los Datos Personales únicamente sobre la base de instrucciones documentadas del Responsable, incluyendo en lo relativo a las transferencias de Datos Personales a un tercer país, salvo que esté obligado a ello por el Derecho de la Unión o de los Estados miembros al que esté sujeto el Encargado. En tal caso, el Encargado informará al Responsable de dicho requisito legal antes del tratamiento, salvo que dicha legislación prohíba tal notificación.

Las Partes acuerdan que el Acuerdo (incluido este DPA) y el uso del Servicio por parte del Responsable constituyen las instrucciones documentadas completas y definitivas del Responsable al Encargado. Cualquier instrucción adicional o alternativa deberá acordarse por separado y por escrito.

4.2. Confidencialidad

El Encargado garantizará que las personas autorizadas para tratar Datos Personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación legal de confidencialidad adecuada.

4.3. Medidas de seguridad

El Encargado aplicará las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, incluyendo, según proceda:

  • Cifrado de los Datos Personales en tránsito (SSL/TLS) y en reposo
  • Medidas para garantizar la confidencialidad, integridad, disponibilidad y resiliencia continuas de los sistemas y servicios de tratamiento
  • La capacidad de restaurar la disponibilidad y el acceso a los Datos Personales de forma oportuna en caso de incidente físico o técnico
  • Controles de acceso estrictos y mecanismos de autenticación (acceso basado en roles)
  • Auditorías de seguridad y pruebas periódicas
  • Sistemas de copia de seguridad con almacenamiento cifrado y un ciclo de retención máximo de 30 días

El Encargado revisará y actualizará periódicamente estas medidas para adaptarlas a los cambios en la tecnología, las amenazas y la naturaleza de los datos tratados.

4.4. Asistencia al Responsable

El Encargado, teniendo en cuenta la naturaleza del tratamiento y la información de que disponga, asistirá al Responsable mediante medidas técnicas y organizativas apropiadas, en la medida de lo posible, en el cumplimiento de las obligaciones del Responsable de atender las solicitudes de ejercicio de derechos de los interesados en virtud del Capítulo III del RGPD (acceso, rectificación, supresión, limitación, portabilidad y oposición).

El Encargado asistirá asimismo al Responsable en el cumplimiento de:

  • La obligación de notificar las violaciones de Datos Personales (artículos 33 y 34 del RGPD)
  • Las evaluaciones de impacto relativas a la protección de datos (artículo 35 del RGPD)
  • La consulta previa a la autoridad de control (artículo 36 del RGPD)

Cuando dicha asistencia requiera un esfuerzo significativo que exceda el funcionamiento ordinario del Servicio, el Encargado podrá cobrar una tarifa razonable basada en los costes reales del Encargado.

5. Subencargados

5.1. Autorización general

El Responsable otorga por la presente al Encargado una autorización general por escrito para contratar Subencargados con el fin de llevar a cabo actividades de tratamiento específicas por cuenta del Responsable. El Encargado garantizará que cada Subencargado esté sujeto a obligaciones de protección de datos no menos protectoras que las establecidas en este DPA.

5.2. Subencargados actuales

Los Subencargados actuales del Encargado a la fecha de este DPA se enumeran en el Anexo B. Asimismo, se mantiene una lista actualizada en la Política de Privacidad.

5.3. Cambios en los Subencargados

El Encargado notificará al Responsable cualquier cambio previsto relativo a la incorporación o sustitución de Subencargados con al menos treinta (30) días de antelación antes de que el nuevo Subencargado comience a tratar Datos Personales, otorgando así al Responsable la oportunidad de oponerse a dichos cambios.

5.4. Derecho de oposición

Si el Responsable tiene una objeción razonable y documentada a un nuevo Subencargado por motivos de protección de datos, el Responsable lo notificará al Encargado por escrito en un plazo de quince (15) días desde la recepción de la notificación del Encargado. Las Partes discutirán la objeción de buena fe con el fin de alcanzar una resolución comercialmente razonable.

Si no se puede alcanzar una resolución en un plazo de treinta (30) días desde la objeción del Responsable, el Responsable podrá resolver el Acuerdo (o la parte afectada del Servicio) mediante notificación por escrito, sin penalización. El Encargado reembolsará las cuotas prepagadas correspondientes a la parte no utilizada del período de suscripción posterior a la fecha efectiva de resolución.

5.5. Responsabilidad por los Subencargados

El Encargado seguirá siendo plenamente responsable ante el Responsable del cumplimiento de las obligaciones de cada Subencargado en virtud de este DPA.

6. Transferencias internacionales de datos

6.1. Principio general

El Encargado no transferirá Datos Personales a un país fuera del Espacio Económico Europeo (EEE) salvo que existan las garantías adecuadas establecidas en el Capítulo V del RGPD.

6.2. Mecanismos de transferencia

Cuando las transferencias fuera del EEE sean necesarias, el Encargado se basa en uno o varios de los siguientes mecanismos:

  • Cláusulas Contractuales Tipo de la UE (CCT): El Encargado ha suscrito CCT (Decisión de Ejecución de la Comisión (UE) 2021/914) con los Subencargados pertinentes.
  • Marco de Privacidad de Datos UE-EE. UU. (DPF): Para los Subencargados con sede en EE. UU. que estén certificados en virtud del DPF, el Encargado podrá basarse en el DPF como mecanismo de transferencia válido. El Encargado verifica periódicamente el estado de certificación de dichos Subencargados.
  • Medidas complementarias: Cuando lo requieran las Evaluaciones de Impacto de Transferencias (TIA), el Encargado implementa garantías técnicas u organizativas adicionales, como el cifrado en tránsito y en reposo.

6.3. Evaluaciones de impacto de transferencias

El Encargado realiza Evaluaciones de Impacto de Transferencias para las transferencias de datos a terceros países y pondrá los resúmenes a disposición del Responsable previa solicitud razonable.

7. Notificación de violaciones de datos

7.1. Notificación al Responsable

El Encargado notificará al Responsable sin dilación indebida, y en cualquier caso en un plazo máximo de cuarenta y ocho (48) horas, tras tener conocimiento de una Violación de Datos que afecte a Datos Personales tratados por cuenta del Responsable.

7.2. Contenido de la notificación

La notificación incluirá, en la medida en que se conozca en ese momento:

  1. Una descripción de la naturaleza de la Violación de Datos, incluyendo las categorías y el número aproximado de interesados y de registros de Datos Personales afectados.
  2. El nombre y los datos de contacto del punto de contacto del Encargado para obtener más información.
  3. Una descripción de las consecuencias probables de la Violación de Datos.
  4. Una descripción de las medidas adoptadas o propuestas para hacer frente a la Violación de Datos, incluyendo las medidas para mitigar sus posibles efectos adversos.

Si no es posible facilitar toda la información simultáneamente, el Encargado proporcionará la información de forma gradual sin dilación indebida adicional.

7.3. Cooperación

El Encargado cooperará con el Responsable y adoptará medidas comerciales razonables para asistir en la investigación, mitigación y subsanación de la Violación de Datos. El Encargado no informará a ningún tercero de una Violación de Datos sin consultar previamente con el Responsable, salvo que así lo exija la ley.

8. Auditorías e inspecciones

8.1. Derechos de auditoría

El Encargado pondrá a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el artículo 28 del RGPD y en este DPA, y permitirá y contribuirá a las auditorías, incluidas las inspecciones, realizadas por el Responsable o por un auditor independiente designado por el Responsable.

8.2. Procedimientos de auditoría

Las auditorías estarán sujetas a las siguientes condiciones:

  1. El Responsable deberá comunicar con al menos treinta (30) días de antelación por escrito la realización de una auditoría, salvo que esta sea necesaria debido a una Violación de Datos o a un requerimiento de una autoridad de control.
  2. Las auditorías se realizarán durante el horario laboral habitual y de forma que no interfieran de manera irrazonable con las operaciones del Encargado.
  3. El Responsable asumirá los costes de cualquier auditoría que inicie, salvo que la auditoría revele un incumplimiento sustancial de este DPA por parte del Encargado.
  4. Las auditorías no excederán de una (1) por año natural, salvo que se haya producido una Violación de Datos o que una autoridad de control ordene o solicite una auditoría adicional.
  5. El auditor (si es un tercero) estará sujeto a obligaciones de confidencialidad aceptables para el Encargado.

8.3. Evidencia alternativa

El Encargado podrá atender las solicitudes de auditoría proporcionando al Responsable informes de auditoría de terceros pertinentes, certificaciones (p. ej., SOC 2, ISO 27001) u otras pruebas de cumplimiento, siempre que dicha evidencia responda razonablemente a los objetivos de auditoría del Responsable.

9. Tratamiento asistido por IA

9.1. Alcance

El Encargado utiliza tecnologías de inteligencia artificial y aprendizaje automático como parte del Servicio para asistir en la extracción, organización y tratamiento de datos empresariales a partir de documentos como facturas, pedidos y catálogos.

9.2. Subencargados de IA

Los Datos Personales tratados mediante funcionalidades de IA podrán ser transmitidos a los siguientes Subencargados de IA (también enumerados en el Anexo B):

  • Cloudflare (Workers AI): Para inferencia de IA en la infraestructura de Cloudflare, incluidos modelos de código abierto. Ubicación de datos: UE (principal), EE. UU. Mecanismo de transferencia: DPF UE-EE. UU.; CCT.
  • Google (Vertex AI): Para inferencia de IA. Ubicación de datos: región UE. Mecanismo de transferencia: CCT; Google DPA.

9.3. Minimización de datos

Solo se transmiten a los Subencargados de IA los datos estrictamente necesarios para proporcionar la funcionalidad de IA correspondiente.

9.4. Sin entrenamiento de modelos

Los Datos Personales tratados mediante funcionalidades de IA se utilizan exclusivamente para inferencia y no se utilizan para entrenar modelos de IA. El Encargado garantiza que sus Subencargados de IA tienen la prohibición contractual de conservar o utilizar Datos Personales para fines de entrenamiento de modelos.

9.5. Supervisión humana

Los resultados generados por IA se presentan para revisión y confirmación humana antes de que se adopte cualquier acción. No se toman decisiones automatizadas con efectos jurídicos o igualmente significativos exclusivamente por IA sin revisión humana.

10. Toma de decisiones automatizada

El Encargado no lleva a cabo decisiones individuales automatizadas ni elaboración de perfiles que produzcan efectos jurídicos para los interesados o les afecten significativamente de forma similar, según lo definido en el artículo 22 del RGPD. En caso de que esto cambie, el Encargado notificará al Responsable y actualizará este DPA en consecuencia.

11. Devolución y supresión de datos

11.1. Exportación de datos

Tras la resolución o expiración del Acuerdo, el Responsable dispondrá de un plazo de noventa (90) días (“Plazo de Recuperación”) para exportar sus Datos Personales del Servicio. El Encargado pondrá los datos a disposición para su exportación en un formato estructurado, de uso común y lectura mecánica (p. ej., CSV o JSON a través de las funcionalidades de exportación de la plataforma o de la API).

11.2. Supresión

Tras el Plazo de Recuperación, el Encargado suprimirá o anonimizará todos los Datos Personales tratados por cuenta del Responsable, salvo que su conservación sea exigida por el Derecho de la Unión o de los Estados miembros. El Encargado confirmará la supresión por escrito a solicitud del Responsable.

11.3. Retención en copias de seguridad

Los Datos Personales podrán persistir en copias de seguridad cifradas durante un máximo de treinta (30) días tras su supresión de los sistemas de producción, de conformidad con el calendario de rotación de copias de seguridad del Encargado. Los datos de las copias de seguridad no se tratan activamente y solo se restauran en escenarios de recuperación ante desastres.

El Encargado podrá conservar Datos Personales limitados cuando sea necesario para cumplir obligaciones legales (p. ej., registros fiscales en virtud de la Ley griega 4987/2022, art. 36: 5 años, ampliables a 10 años en caso de auditorías pendientes), resolver disputas o hacer cumplir el Acuerdo. En la medida de lo posible, dichos datos conservados se aislarán y se restringirá el acceso a los mismos.

12. Responsabilidad

La responsabilidad de las Partes en virtud de este DPA estará sujeta a las limitaciones y exclusiones de responsabilidad establecidas en el Acuerdo, salvo en la medida en que la Legislación Aplicable en Materia de Protección de Datos disponga lo contrario.

13. Vigencia y modificaciones

13.1. Vigencia

Este DPA entrará en vigor en la fecha en que el Responsable acepte el Acuerdo y permanecerá vigente mientras el Encargado trate Datos Personales por cuenta del Responsable.

13.2. Modificaciones

Este DPA podrá ser modificado por el Encargado para reflejar cambios en la Legislación Aplicable en Materia de Protección de Datos o en las directrices de las autoridades de control. Las modificaciones sustanciales serán notificadas al Responsable con al menos treinta (30) días de antelación. El uso continuado del Servicio por parte del Responsable tras la entrada en vigor de la modificación constituirá la aceptación de la misma. Si el Responsable no acepta la modificación, podrá resolver el Acuerdo de conformidad con la Sección 17 de las Condiciones de Servicio.

14. Ley aplicable y jurisdicción

Este DPA se regirá por las leyes de la República Helénica (Grecia) y estará sujeto a la jurisdicción exclusiva de los Tribunales de Tesalónica, en consonancia con el Acuerdo.

Anexo A — Descripción del tratamiento

ElementoDescripción
ObjetoTratamiento de Datos Personales para proporcionar la plataforma B2B de Bomdiu para el sector de alimentos y bebidas
DuraciónDuración del Acuerdo más los períodos de retención posteriores a la resolución descritos en la Sección 11
Naturaleza del tratamientoRecogida, almacenamiento, organización, recuperación, consulta, utilización, comunicación por transmisión, cotejo, combinación, limitación, supresión, destrucción
FinalidadAlojamiento de la plataforma, facilitación de pedidos, sincronización de datos, procesamiento de documentos asistido por IA, análisis, comunicaciones transaccionales, atención al cliente
Tipos de Datos PersonalesDatos de contacto (nombre, correo electrónico, teléfono, dirección), información de empleados (nombre, cargo), datos de pedidos/transacciones, mensajes de chat, identificadores técnicos (dirección IP, credenciales con hash)
Categorías de interesadosEmpleados y colaboradores del Responsable, personas de contacto de los clientes/proveedores del Responsable, personal de reparto/logística

Anexo B — Subencargados autorizados

Los siguientes Subencargados están autorizados a la fecha de publicación de este DPA:

SubencargadoServicioDatos tratadosUbicación de datosMecanismo de transferencia
CloudflareCDN, base de datos (D1), alojamiento (Workers/Pages), analítica web, inferencia de IA (Workers AI)Datos técnicos, datos de cuenta, datos operativosUE (principal), EE. UU.DPF UE-EE. UU.; CCT
PlanetScaleAlojamiento de base de datosDatos de cuenta, datos operativosUECCT
UpCloudAlojamiento de infraestructuraDatos de cuenta, datos operativosUEN/A (solo EEE)
Fly.ioAlojamiento de serviciosDatos de cuenta, datos operativosUEN/A (solo EEE)
ResendEnvío de correo electrónico transaccionalDatos de contacto (nombre, correo electrónico), contenido de notificacionesEE. UU.DPF UE-EE. UU.; CCT
PostHogAnalítica de producto, grabación de sesiones (Cloud UE)Eventos de análisis de uso, datos de grabación de sesiones (incluido contenido e interacciones en pantalla que puedan mostrar datos personales), identificadores internos de organización/clienteUEN/A (solo EEE)
Google (Vertex AI)Inferencia de IA (procesamiento de documentos)Contenido de documentos (facturas, pedidos, catálogos) que pueden contener datos de contactoRegión UECCT; Google DPA
Better AuthInfraestructura de autenticación (panel de control, protección contra abusos, registro de auditoría)Datos de cuenta, eventos de autenticación, eventos de seguridad (direcciones IP, huellas digitales del navegador, ubicaciones de inicio de sesión), direcciones de correo electrónicoEE. UU.CCT

Nota: La analítica Umami está alojada en la propia infraestructura de Bomdiu y no constituye un Subencargado.

Contacto

Para consultas relativas a este DPA, póngase en contacto con:

Bomdiu SINGLE MEMBER PC GEMI: 190310106000 VAT: EL803131996 Geor. Gennimata 21 555 35 Thessaloniki Greece Teléfono: +30 231 176 8265 Correo electrónico: privacy@bomdiu.com Sitio web: https://bomdiu.com