¿Cuándo aplica este DPA? Cuando tú (asesoría, despacho, empresa) usas Anoply para anonimizar documentos que contienen datos personales de terceros. Tú actúas como Responsable; Anoply, como Encargado. Si solo procesas datos tuyos personales, este DPA es informativo.

Partes del contrato

Responsable del tratamiento(“Cliente”): la persona física o jurídica titular de la cuenta Anoply.

Encargado del tratamiento(“Anoply”): Sinnvoll Analítica Empresarial S.L.U., con CIF B13972336 y domicilio en Zaragoza, España.

Objeto, naturaleza y fin del encargo

Objeto: proporcionar a Cliente una herramienta de pseudonimización reversible de datos personales contenidos en documentos electrónicos.

Naturaleza del tratamiento: detección, sustitución y reversión de identificadores directos mediante procesamiento local en el navegador del Cliente. Anoply NO recibe el contenido de los documentos.

Finalidad: permitir al Cliente cumplir con principios de minimización (Art. 5 RGPD) y pseudonimización (Art. 25 y 32 RGPD).

Tipos de datos y categorías de interesados

Los tipos de datos personales sujetos a este encargo dependen de los documentos que el Cliente procese. Habitualmente:

Categorías de datosCategorías de interesados
Identificativos (nombre, NIF/NIE, dirección, email, teléfono, fecha de nacimiento)Clientes, empleados, proveedores, contrapartes contractuales del Cliente
Económico-financieros (IBAN, importes, fechas de pago, números de Seguridad Social)Empleados, clientes con relación contractual
Profesionales (cargo, empresa, matrícula)Contactos profesionales

Anoply no diseñado para procesar categorías especiales (Art. 9 RGPD: salud, religión, orientación, etc.) ni datos relativos a condenas penales (Art. 10 RGPD). Si el Cliente procesa este tipo de información, debe valorar idoneidad bajo su propia responsabilidad.

Obligaciones de Anoply como Encargado

Obligaciones del Cliente como Responsable

Subencargados autorizados

El Cliente autoriza con carácter general la subcontratación a los proveedores de infraestructura listados en la Política de privacidad. Si Anoply incorpora un nuevo subencargado relevante para los datos tratados bajo este DPA, lo notificará al Cliente con 30 días de antelación. El Cliente podrá oponerse motivadamente; si la oposición es razonable, Anoply propondrá alternativa.

Transferencias internacionales

El contenido de los documentos que el Cliente procesa con Anoply nunca sale del navegador del usuario y, por tanto, no se transfiere a ningún subencargado, ni dentro ni fuera del EEE.

Los datos de cuenta (email, identificador, metadatos de uso) se procesan en la UE (Supabase eu-west-1, Vercel fra1) salvo en lo relativo a los subencargados ubicados en EEUU listados en /privacy (Clerk, Stripe, Sentry, Resend). Para esas transferencias, Anoply aplica las Cláusulas Contractuales Tipo aprobadas por la Decisión (UE) 2021/914 de la Comisión y, cuando es aplicable, el EU–US Data Privacy Framework. Anoply ha realizado un Transfer Impact Assessment conforme a la jurisprudencia Schrems II y aplica medidas suplementarias: cifrado TLS 1.3 en tránsito, cifrado AES-256 en reposo y minimización de los datos transferidos. Si el DPF fuese invalidado, las SCCs seguirán aplicándose como base autónoma de transferencia.

Duración del encargo

Este DPA es válido mientras el Cliente mantenga una cuenta activa en Anoply. Las obligaciones de confidencialidad y de devolución/eliminación sobreviven a la terminación.

Devolución y eliminación de datos

Al terminar el servicio, Anoply elimina los datos de cuenta del Cliente en 30 días salvo obligación legal de conservación (facturación: 6 años). Los diccionarios .anpx y el contenido de documentos nunca llegan a Anoply, por lo que no requieren acción.

Solicitud de DPA firmado

Si tu DPO o legal requieren una versión firmada del DPA, escríbenos a privacy@anoply.eu. Lo enviamos firmado electrónicamente en 48 horas. Para clientes Enterprise lo incluimos como anexo al contrato marco.


Anexo I — Medidas técnicas y organizativas (Art. 32 RGPD)

Anoply aplica las siguientes medidas como Encargado del tratamiento. Esta lista es la garantía mínima ofrecida al Cliente; las medidas reales pueden ser superiores y se documentan en la página /security con mayor detalle.

CategoríaMedida
Cifrado en tránsitoTLS 1.3 obligatorio en todas las conexiones HTTPS. HSTS activado con preload.
Cifrado en reposoAES-256 en Supabase (datos de cuenta) y Vercel (artefactos de build). El mapa de reversión .anpx cifrado con AES-256-GCM + PBKDF2 600.000 iteraciones usando la passphrase del Cliente — la clave nunca sale del navegador del Cliente.
PseudonimizaciónEl producto central. Sustitución reversible de identificadores directos conforme al Art. 4(5) RGPD.
Procesamiento localDetección y anonimización ocurren íntegramente en el navegador del Cliente (WebAssembly + Web Crypto). El contenido de los documentos no se transmite a servidores de Anoply.
Control de accesoAutenticación con MFA opcional vía Clerk. Acceso administrativo interno con RBAC y registro de auditoría. Principio de mínimo privilegio.
Segregación de entornosProducción, staging y desarrollo segregados a nivel de cuenta de proveedor.
Copia de seguridadBackups cifrados diarios de la base de datos de cuenta (Supabase) con retención 30 días. Recuperación probada trimestralmente.
Gestión de vulnerabilidadesDependabot activo para dependencias. Revisión de vulnerabilidades reportadas en menos de 72 h para severidad crítica.
MonitorizaciónSentry con sendDefaultPii: false — sin captura automática de PII. Alertas operativas en caídas de servicio.
Gestión de incidentesProcedimiento de respuesta documentado. Notificación de brechas al Cliente sin dilación indebida, con objetivo de 24 h desde el conocimiento.
FormaciónFormación anual obligatoria del personal en protección de datos y seguridad de la información.
Borrado seguroEliminación de datos de cuenta en 30 días tras finalización del servicio, salvo obligación legal de conservación (facturación: 6 años conforme al CCom).

Anexo II — Lista de subencargados autorizados

El Cliente autoriza con carácter general la subcontratación a los siguientes proveedores. Cualquier cambio se anunciará con 30 días de antelación en /privacy; el Cliente podrá oponerse razonadamente y, si no se alcanza acuerdo, resolver el contrato sin penalización.

SubencargadoFunciónUbicaciónGarantía de transferencia
Vercel Inc.Hosting de la aplicación web (frontend + funciones serverless)UE (fra1, Frankfurt) — entidad legal en EEUUSCCs UE 2021/914 + EU-US DPF
SupabaseBase de datos de cuenta (Postgres) y autenticaciónUE (eu-west-1, Irlanda)UE — no transferencia
Clerk, Inc.Identidad y autenticación de usuariosEEUUSCCs UE 2021/914 + EU-US DPF
Stripe Payments Europe Ltd.Procesamiento de pagos y facturaciónIrlanda (UE) con comparición a Stripe Inc. (EEUU)SCCs UE 2021/914 + EU-US DPF
ResendEnvío de emails transaccionalesEEUUSCCs UE 2021/914 + EU-US DPF
Sentry (Functional Software, Inc.)Monitorización de errores (sin PII)EEUUSCCs UE 2021/914 + EU-US DPF
Umami Software, Inc. (Umami Cloud)Analítica de pageviews cookieless. Pageview + URL + referer + país aproximado + user-agent. La IP se hashea y descarta. Sin PII persistente.EEUUSCCs UE 2021/914 + EU-US DPF
OVH SASRegistro de dominio y MX records para anoply.euFrancia (UE)UE — no transferencia

Anoply ha realizado un Transfer Impact Assessment conforme a la jurisprudencia Schrems II para cada uno de los subencargados con sede o personal en EEUU. Las medidas suplementarias aplicadas se documentan en /security.


Anoply DPA v1.0 · conforme al Art. 28 RGPD y Cláusulas Contractuales Tipo (Decisión 2021/914)
Sinnvoll Analítica Empresarial S.L.U. · Zaragoza · Contacto en materia de protección de datos: privacy@anoply.eu