Acuerdo de tratamiento de datos (DPA) de Capydox
Condiciones en las que Capydox actúa como encargado del tratamiento para clientes que utilizan el servicio en modalidad SaaS, conforme al RGPD y la normativa española.
Última actualización: 21 de mayo de 2026
Acuerdo de tratamiento de datos (DPA) de Capydox
Última actualización: 21/05/2026
El presente Acuerdo de tratamiento de datos (el "DPA") forma parte de los Términos y condiciones u otro contrato principal celebrado entre el cliente (el "Cliente" o el "Responsable") y Capydox (el "Proveedor" o el "Encargado") para el uso del servicio de documentación y evidencias de APIs (el "Servicio").
Este DPA regula las condiciones en las que Capydox trata datos personales por cuenta del Cliente, de conformidad con el Reglamento (UE) 2016/679 (RGPD) y la normativa española de protección de datos.
1. Partes y rol de cada una
- Responsable del tratamiento (Cliente)
El Cliente es la persona física o jurídica que contrata el Servicio y determina los fines y medios del tratamiento de los datos personales incorporados al mismo.
- Encargado del tratamiento (Capydox)
Capydox es un profesional autónomo que opera bajo el nombre comercial "Capydox" y que presta el Servicio al Cliente. A efectos de este DPA, Capydox actúa como Encargado del tratamiento respecto de los datos personales que el Cliente y sus usuarios suben, importan o generan en el Servicio.
2. Objeto, duración y naturaleza del tratamiento
- Objeto
El objeto de este DPA es regular el tratamiento de datos personales que Capydox realiza por cuenta del Cliente en el marco de la prestación del Servicio.
- Duración
Este DPA estará vigente mientras Capydox trate datos personales por cuenta del Cliente en virtud del contrato principal. A la finalización de la relación contractual, se aplicará lo previsto en la cláusula 11 sobre supresión o devolución de los datos.
- Naturaleza y finalidades del tratamiento
Capydox tratará los datos personales únicamente para:
- Prestar el Servicio de documentación y evidencias de APIs contratado por el Cliente.
- Proporcionar funcionalidades de importación de colecciones, generación y mantenimiento de especificaciones OpenAPI, evidencias, documentación y colaboración en workspaces.
- Prestar soporte técnico y de seguridad relacionado con el Servicio.
- Categorías de interesados
Según determine el Cliente, el tratamiento puede involucrar datos de:
- Personal del Cliente (empleados, colaboradores, administradores de sistemas).
- Usuarios finales autorizados por el Cliente.
- Contactos de clientes, proveedores u otros terceros incluidos en el contenido técnico que el Cliente incorpore al Servicio.
- Tipos de datos personales
Entre otros, y según decida el Cliente, pueden tratarse:
- Datos identificativos básicos (nombre, apellidos, correo electrónico corporativo, identificadores de usuario).
- Datos de uso y registros de actividad relacionados con el Servicio.
- Datos técnicos asociados a APIs y colecciones (por ejemplo URLs, parámetros, cabeceras, cuerpos de ejemplo) que, en algunos casos, podrían contener datos personales si el Cliente los incluye en dichos elementos.
El Cliente se compromete a no incorporar al Servicio categorías especiales de datos (art. 9 RGPD) salvo que exista base jurídica adecuada y se haya informado previamente a Capydox para valorar medidas adicionales.
3. Instrucciones del Responsable
Capydox tratará los datos personales únicamente siguiendo instrucciones documentadas del Cliente, incluyendo las instrucciones contenidas en este DPA, en el contrato principal y en la configuración realizada por el Cliente dentro del Servicio.
El Cliente es responsable de:
- Definir las finalidades y medios del tratamiento.
- Configurar adecuadamente permisos de usuarios, workspaces y opciones de seguridad.
Si Capydox considerase que una instrucción vulnera la normativa de protección de datos, lo notificará al Cliente sin demora indebida, en la medida en que lo permita la legislación aplicable.
4. Confidencialidad
Capydox garantizará que las personas autorizadas para tratar datos personales se comprometen, de forma expresa y por escrito, a respetar la confidencialidad o están sujetas a una obligación de confidencialidad de naturaleza legal o contractual.
Capydox solo dará acceso a los datos personales al personal que necesite conocerlos para la prestación del Servicio, aplicando el principio de mínima privilegio.
5. Medidas de seguridad
Capydox aplicará medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, de conformidad con el artículo 32 del RGPD.
Entre otras, se incluyen:
- Uso de comunicaciones cifradas mediante HTTPS/TLS entre clientes, aplicación de escritorio y servidores.
- Controles de acceso basados en cuentas y roles, con autenticación robusta.
- Cifrado a nivel de aplicación de determinados campos sensibles almacenados en bases de datos (por ejemplo contenido de colecciones, especificaciones, evidencias y documentación de workspaces en entornos de producción).
- Separación lógica de datos entre cuentas y workspaces del Cliente.
- Copias de seguridad periódicas y procedimientos de recuperación ante desastres.
- Procedimientos de gestión de vulnerabilidades y de incidentes de seguridad.
Capydox podrá actualizar o modificar las medidas de seguridad siempre que no se reduzca el nivel de protección global. El detalle técnico de determinadas medidas podrá describirse en anexos o documentación de seguridad específica.
6. Subencargados del tratamiento
- Autorización para subencargados
El Cliente autoriza de forma general a Capydox a recurrir a subencargados del tratamiento para la prestación del Servicio (por ejemplo proveedores de hosting, base de datos, correo, pagos, analítica, almacenamiento de binarios o autenticación).
Capydox:
- Informará al Cliente de la lista actualizada de subencargados mediante su documentación legal o un anexo específico.
- Notificará la incorporación o sustitución de subencargados con un plazo razonable para que el Cliente pueda formular objeciones justificadas.
- Obligaciones frente a subencargados
Capydox se compromete a:
- Suscribir con cada subencargado un contrato que imponga obligaciones equivalentes a las de este DPA, especialmente en materia de seguridad, confidencialidad y asistencia al Responsable.
- Responder frente al Cliente del cumplimiento de las obligaciones de protección de datos por parte de los subencargados.
Si el Cliente se opusiera justificadamente a un nuevo subencargado y no fuera posible prestar el Servicio sin él, el Cliente podrá resolver el contrato con las consecuencias previstas en el mismo.
7. Transferencias internacionales de datos
Cuando el uso del Servicio implique transferencias internacionales de datos fuera del Espacio Económico Europeo, Capydox garantizará que se implementan las garantías adecuadas previstas en el RGPD, tales como:
- Decisiones de adecuación de la Comisión Europea.
- Cláusulas contractuales tipo (SCC) aprobadas por la Comisión Europea.
- Otras garantías reconocidas por la normativa.
Capydox pondrá a disposición del Cliente, a petición razonable, información sobre las transferencias internacionales y las garantías aplicables, en la medida en que no se revelen secretos comerciales o información confidencial de terceros.
8. Asistencia al Responsable
Capydox asistirá al Cliente, en la medida de lo razonable y teniendo en cuenta la naturaleza del tratamiento y la información disponible, para que pueda cumplir con sus obligaciones respecto a:
- Respuestas a solicitudes de ejercicio de derechos de los interesados (acceso, rectificación, supresión, oposición, limitación, portabilidad y otros que resulten aplicables).
- Notificación de violaciones de seguridad de los datos personales a las autoridades de control y, en su caso, a los interesados.
- Evaluaciones de impacto en protección de datos y consultas previas a la autoridad de control cuando correspondan.
El Cliente será el responsable último de las decisiones que tome sobre dichas solicitudes y obligaciones, así como de los contenidos de las comunicaciones a interesados y autoridades.
9. Notificación de violaciones de seguridad
Capydox notificará al Cliente, sin dilación indebida y a través de los canales de contacto habituales, cualquier violación de seguridad de los datos personales de la que tenga conocimiento y que afecte a los datos tratados por cuenta del Cliente.
La notificación incluirá, en la medida de lo posible:
- Una descripción de la naturaleza de la violación de seguridad.
- Las categorías y el número aproximado de interesados afectados.
- Las consecuencias probables de la violación.
- Las medidas adoptadas o propuestas para remediar la violación y mitigar sus efectos.
Capydox cooperará con el Cliente para facilitar la información adicional que pueda requerir la autoridad de control.
10. Auditorías y comprobaciones
El Cliente tiene derecho a verificar el cumplimiento de este DPA por parte de Capydox.
A tal efecto, Capydox pondrá a disposición del Cliente la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente Acuerdo y, cuando proceda, permitirá la realización de auditorías o inspecciones razonables por parte del Cliente o de un auditor independiente designado por este.
Las auditorías:
- Deberán solicitarse con una antelación razonable.
- Se limitarán a la información y sistemas relacionados con el Servicio prestado al Cliente.
- No deberán interferir de forma significativa con las operaciones normales de Capydox ni comprometer la seguridad o la confidencialidad de otros clientes.
Cualquier coste extraordinario derivado de auditorías in situ más allá de las verificaciones estándar podrá repercutirse al Cliente de acuerdo con lo que se acuerde entre las partes.
11. Supresión o devolución de los datos
Una vez finalice la prestación del Servicio o a solicitud del Cliente, Capydox, según lo que el Cliente indique en un plazo razonable:
- Devolverá al Cliente los datos personales tratados por cuenta de este en un formato razonablemente estructurado; o
- Suprimirá dichos datos, salvo que la legislación aplicable exija su conservación.
Capydox podrá conservar copias bloqueadas de los datos mientras puedan derivarse responsabilidades legales o mientras sean necesarias para el cumplimiento de obligaciones normativas (por ejemplo fiscales o contables), aplicando en todo caso las medidas de seguridad pertinentes.
12. Responsabilidades y limitación
Cada parte será responsable de cumplir las obligaciones que le correspondan según el RGPD y la normativa aplicable.
- El Cliente será responsable del cumplimiento de los principios de protección de datos, de la obtención de bases jurídicas válidas para el tratamiento y de la información a los interesados.
- Capydox será responsable de las obligaciones propias del Encargado, tal y como se describen en este DPA.
Las limitaciones de responsabilidad establecidas en el contrato principal serán aplicables al presente DPA en la medida en que no contravengan la normativa en materia de protección de datos.
13. Prevalencia y modificaciones
En caso de conflicto entre las disposiciones de este DPA y las del contrato principal, prevalecerá el presente DPA respecto de aquellas cuestiones directamente relacionadas con la protección de datos personales.
Capydox podrá actualizar este DPA para adaptarlo a cambios normativos o a la evolución del Servicio. En caso de modificaciones sustanciales, se informará al Cliente con antelación razonable, pudiendo este oponerse o resolver el contrato en los términos previstos en el mismo.