Acuerdo de Procesamiento de Datos (DPA)

Última actualización: 9 de marzo de 2026

1. Objeto y Partes

1.1 Encargado del Tratamiento

Yellowhak OÜ, con domicilio en Harju maakond, Tallinn, Lasnamäe linnaosa, Lõõtsa tn 5, 11415, Estonia, actúa como Encargado del Tratamiento de los datos personales accedidos o procesados durante compromisos de ciberseguridad (pruebas de penetración, operaciones Red Team, auditorías de seguridad de IA) realizados en nombre del Cliente.

1.2 Responsable del Tratamiento

El Cliente (la empresa o persona física que contrata a Yellowhak OÜ) actúa como Responsable del Tratamiento de los datos personales dentro de sus sistemas, redes y aplicaciones que pueden ser accedidos durante evaluaciones de seguridad autorizadas.

1.3 Objeto

Este DPA regula el tratamiento de datos personales por parte de Yellowhak OÜ en nombre del Cliente en el contexto de compromisos de ciberseguridad, incluyendo el acceso a logs de sistemas, tráfico de red, bases de datos de usuarios, datos de aplicaciones y cualquier otro dato personal dentro del alcance autorizado de pruebas.

2. Instrucciones de Tratamiento

Yellowhak OÜ procesará datos personales únicamente de conformidad con: (i) la Declaración de Trabajo (SOW) firmada; (ii) las instrucciones documentadas del Cliente; (iii) las leyes de protección de datos aplicables. Yellowhak OÜ informará al Cliente si alguna instrucción, a su juicio profesional, infringiría la legislación de protección de datos aplicable.

3. Obligaciones de Yellowhak OÜ como Encargado

Yellowhak OÜ: (i) procesará datos personales exclusivamente para los fines definidos en el SOW; (ii) garantizará que todo el personal involucrado esté vinculado por acuerdos de confidencialidad; (iii) implementará y mantendrá medidas de seguridad técnicas y organizativas apropiadas (Art. 32 RGPD); (iv) asistirá al Cliente en la atención de solicitudes de derechos de los interesados; (v) eliminará o devolverá todos los datos personales dentro de los 30 días posteriores a la finalización del compromiso.

4. Subencargados

Yellowhak OÜ puede contratar subencargados (ej. infraestructura cloud, herramientas de escaneo especializadas) sujeto a: (i) autorización general previa del Cliente; (ii) obligaciones contractuales equivalentes a este DPA; (iii) notificación al Cliente de cualquier nuevo subencargado, con un período de 14 días para objeción. Yellowhak OÜ sigue siendo plenamente responsable de los actos y omisiones de sus subencargados.

5. Medidas de Seguridad (Art. 32 RGPD)

5.1 Medidas Técnicas

• Cifrado en tránsito (TLS 1.3) y en reposo (AES-256) para todos los datos de compromiso.
• Conexiones VPN seguras y cifradas para actividades de prueba remotas.
• Entornos de prueba aislados para prevenir contaminación de datos.
• Purgado automatizado de logs después del período de retención definido.
• Autenticación multifactor (MFA) para todos los sistemas del personal de Yellowhak OÜ.

5.2 Medidas Organizativas

• Verificación de antecedentes y habilitación de seguridad para todos los operadores.
• Controles de acceso basados en necesidad de conocer para datos de compromiso.
• Programas regulares de formación y concienciación en seguridad interna.
• Procedimientos documentados de respuesta a incidentes con rutas de escalación definidas.

6. Asistencia en Derechos de los Interesados

Cuando Yellowhak OÜ reciba directamente una solicitud de derechos de un interesado relacionada con datos personales cuyo Responsable es el Cliente: (i) remitirá la solicitud al Cliente en 5 días hábiles; (ii) proporcionará asistencia técnica razonablemente necesaria; (iii) no responderá directamente al interesado sin autorización del Cliente, salvo obligación legal.

7. Notificación de Brechas de Seguridad

En caso de brecha de seguridad que afecte a datos personales tratados por cuenta del Cliente, Yellowhak OÜ notificará al Cliente sin dilación indebida y, en todo caso, en el plazo máximo de 36 horas, facilitando: (i) naturaleza de la brecha; (ii) datos de contacto del DPO; (iii) posibles consecuencias; (iv) medidas remediales adoptadas o propuestas.

8. Transferencias Internacionales de Datos

Cuando el tratamiento implique transferencia fuera del EEE, Yellowhak OÜ garantiza que se realice únicamente: (i) a países con nivel de protección adecuado; (ii) mediante Cláusulas Contractuales Tipo (CCT); u (iii) otras garantías apropiadas conforme al Art. 46 RGPD. Las CCT están disponibles bajo solicitud a legal@yellowhak.com.

9. Auditoría y Demostrabilidad

Yellowhak OÜ pondrá a disposición del Cliente toda la información necesaria para demostrar el cumplimiento de este DPA y permitirá auditorías con 30 días de aviso previo, una vez al año, en horario laboral, sujetas a acuerdo de confidencialidad y a cargo del Cliente.

10. Duración y Efectos de la Terminación

Este DPA estará vigente durante todo el compromiso de ciberseguridad. Tras la finalización: (i) el Cliente tiene 30 días para solicitar la devolución de datos; (ii) Yellowhak OÜ procederá a la eliminación segura; (iii) bajo solicitud, emitirá certificación escrita de eliminación; (iv) conservará exclusivamente los datos requeridos por imperativo legal.

11. Ley Aplicable

Este DPA se rige por el Derecho de la República de Estonia y el Derecho de la Unión Europea, en particular el RGPD. Las disputas se resolverán conforme a la cláusula de ley aplicable y arbitraje de los Términos de Servicio.