Data Processing Addendum

Este Adendum de Tratamiento de Datos ("DPA") forma parte de los Términos de Servicio y regula el tratamiento de los datos personales de los usuarios finales de las apps que construyes con Forma. Respecto de esos datos, tú eres el responsable (controlador) y Forma actúa como encargado (procesador). Si necesitas firmar un DPA formal para tu empresa, escríbenos a legal@forma.app.

El Responsable (tú) determina los fines y medios del tratamiento. Forma (Encargado) trata los datos personales únicamente conforme a tus instrucciones documentadas, incluyendo el uso del Servicio según su documentación. Forma te informará si, en su opinión, una instrucción infringe la normativa aplicable (LFPDPPP, GDPR, LGPD, CCPA/CPRA).

Forma se compromete a: tratar los datos solo siguiendo tus instrucciones; garantizar la confidencialidad de su personal autorizado; aplicar las medidas técnicas y organizativas del Anexo II; respetar las condiciones sobre subprocesadores; asistirte para responder solicitudes de los interesados; asistirte con la notificación de brechas y las evaluaciones de impacto; y, a tu elección, suprimir o devolver los datos al finalizar el Servicio.

Autorizas con carácter general que Forma recurra a subprocesadores para prestar el Servicio. La lista vigente está en Subprocesadores. Forma impone a cada subprocesador obligaciones equivalentes a las de este DPA y notifica los cambios con al menos 14 días de anticipación a quienes estén suscritos.

Forma pone a tu disposición las funciones del Servicio (exportación, edición y eliminación de datos) para atender las solicitudes de acceso, rectificación, cancelación, oposición y portabilidad de los interesados. Si un interesado se dirige directamente a Forma, lo remitiremos a ti.

Forma te notificará sin dilación indebida tras tener conocimiento de una vulneración de seguridad que afecte a los datos personales tratados por tu cuenta, con la información razonablemente disponible para que cumplas tus propias obligaciones de notificación.

Cuando el tratamiento implique transferencias internacionales, las partes se apoyarán en mecanismos válidos: las Cláusulas Contractuales Tipo (SCC) de la Comisión Europea —incorporadas a este DPA por referencia cuando apliquen—, el EU-US Data Privacy Framework y el consentimiento informado conforme a la LFPDPPP.

Al terminar el Servicio, Forma suprimirá o devolverá tus datos personales, a tu elección, salvo que la ley exija conservarlos. La eliminación se completa en un máximo de 30 días, sin perjuicio de copias de seguridad residuales que se sobrescriben en el ciclo normal.

Objeto: prestación del Servicio Forma. Duración: mientras esté vigente tu cuenta. Naturaleza y finalidad: alojamiento, generación, almacenamiento y procesamiento de apps y de los datos que tus apps recopilen de sus usuarios finales. Categorías de datos: las que decidas recopilar mediante tus apps (no introduzcas datos sensibles sin base legal). Categorías de interesados: tus usuarios finales y contactos.

Cifrado en tránsito (TLS 1.2+) y cifrado en reposo de tokens y secretos (AES-256-GCM); Row Level Security en la base de datos; control de acceso y autenticación; registro de auditoría de acciones sensibles; limitación de tasa; copias de seguridad; segregación lógica de datos por usuario; y revisión periódica de las medidas de seguridad.