1. Partes y objeto
Este Acuerdo de Encargo de Tratamiento (“DPA”) complementa los Términos de Uso de Castara y se aplica cuando el Usuario (“Responsable”) carga datos personales de terceros (talento, clientes, contactos) en la plataforma.
En ese caso, BM Talent Representaciones SL actúa como Encargado del Tratamiento según el artículo 28 del RGPD.
2. Instrucciones del responsable
Castara trata los datos personales únicamente para prestar el servicio contratado y siguiendo las instrucciones del Responsable. No utilizará los datos para fines propios, salvo obligación legal.
3. Medidas de seguridad
Castara implementa las siguientes medidas técnicas y organizativas:
- Cifrado en tránsito (TLS 1.3) y en reposo (AES-256).
- Aislamiento de datos por tenant mediante PostgreSQL Row-Level Security.
- Controles de acceso basados en roles con principio de mínimo privilegio.
- Registros de auditoría de accesos a datos sensibles.
- Planes de respuesta a incidentes de seguridad.
4. Subencargados del tratamiento
El Responsable autoriza el uso de subencargados para la prestación del servicio. La lista actualizada de subencargados está disponible en privacy@castara.app. Castara notificará con 30 días de antelación cualquier cambio relevante.
Todos los subencargados están sujetos a obligaciones equivalentes a las de este DPA.
5. Asistencia al responsable
Castara asistirá al Responsable en el cumplimiento de las solicitudes de ejercicio de derechos de los interesados, notificaciones de brechas de seguridad (en el plazo de 72 horas desde la detección) y evaluaciones de impacto (DPIA).
6. Supresión o devolución de datos
Tras la finalización del contrato, Castara pondrá a disposición del Responsable sus datos durante 30 días para exportación, tras lo cual procederá a la supresión segura salvo obligación legal de conservación.
7. Contacto
Para cuestiones relacionadas con este DPA o para solicitar la versión firmada, contacta con privacy@castara.app.