10 Días Gratis · Sin TarjetaReservar llamada
Volver al inicio
Legal

Acuerdo de Tratamiento de Datos

Fecha de entrada en vigor: 1 de enero de 2026Última actualización: April 15, 2026

Este Acuerdo de Tratamiento de Datos ("DPA") forma parte del Contrato entre Gixodia ("Encargado") y el Cliente ("Responsable") para la prestación del software y los servicios de Gixodia. Refleja el acuerdo de las partes en relación con el Tratamiento de Datos Personales de conformidad con los requisitos del Reglamento General de Protección de Datos (Reglamento (UE) 2016/679, "RGPD") y, cuando sea aplicable, el UK GDPR, la LPD suiza y otras leyes de protección de datos aplicables. Gixodia es una empresa de software. No somos un bróker, fondo, custodio ni asesor financiero.

Gixodia es una empresa de software. Vendemos licencias de software de bots de trading — no somos un bróker, custodio, fondo, asesor financiero ni gestor de inversiones. No retenemos fondos de clientes, no damos asesoramiento financiero y no garantizamos beneficios. Todo el trading se realiza por el cliente en su propia cuenta de bróker, y el 100% de los resultados (positivos o negativos) pertenecen al cliente.

1. Partes

Este DPA se celebra entre:

  • Responsable — el Cliente identificado en el Contrato subyacente o en el Formulario de Pedido, actuando como responsable del tratamiento de los Datos Personales procesados bajo este DPA ("Responsable", "usted").
  • Encargado — Gixodia, el licenciante de software, actuando como encargado del tratamiento por cuenta del Responsable ("Encargado", "Gixodia", "nosotros").

Al aceptar los Términos y Condiciones de Gixodia y/o suscribir un Formulario de Pedido, se entiende que el Responsable ha suscrito este DPA. Puede solicitarse una copia firmada por ambas partes a support@gixodia.com.

2. Definiciones

A efectos de este DPA, los siguientes términos tienen el significado que se indica a continuación. Los términos en mayúsculas no definidos aquí tienen el significado que les atribuye el RGPD.

  • "Ley de Protección de Datos Aplicable" significa todas las leyes y reglamentos aplicables al Tratamiento de Datos Personales bajo este DPA, incluido el RGPD, el UK GDPR, la LPD suiza, la CCPA/CPRA de California y toda legislación de desarrollo o sucesora.
  • "Responsable" significa la persona física o jurídica que, sola o junto con otras, determina los fines y los medios del Tratamiento de Datos Personales (art. 4(7) RGPD).
  • "Interesado" significa una persona física identificada o identificable a la que se refieren los Datos Personales (art. 4(1) RGPD).
  • "Datos Personales" significa cualquier información relativa a un Interesado que sea Tratada por el Encargado por cuenta del Responsable bajo el Contrato (art. 4(1) RGPD).
  • "Violación de la Seguridad de los Datos Personales" significa toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de Datos Personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos (art. 4(12) RGPD).
  • "Tratamiento" significa cualquier operación o conjunto de operaciones realizadas sobre Datos Personales (art. 4(2) RGPD).
  • "Encargado del Tratamiento" significa la persona física o jurídica que Trata Datos Personales por cuenta del Responsable (art. 4(8) RGPD).
  • "Subencargado" significa cualquier tercero contratado por el Encargado para Tratar Datos Personales por cuenta del Responsable.
  • "SCC" significa las Cláusulas Contractuales Tipo aprobadas por la Decisión de Ejecución (UE) 2021/914 de la Comisión, de 4 de junio de 2021.

3. Objeto y duración

3.1 Objeto. El objeto de este DPA es el Tratamiento de Datos Personales por parte de Gixodia por cuenta del Responsable en relación con la prestación del software Gixodia, la gestión de licencias, el soporte al cliente y los servicios relacionados descritos en el Contrato subyacente.

3.2 Duración. Este DPA se aplica desde la fecha de entrada en vigor del Contrato subyacente y permanece en vigor mientras Gixodia Trate Datos Personales por cuenta del Responsable. Las cláusulas que por su naturaleza deban sobrevivir a la terminación (confidencialidad, responsabilidad, devolución/supresión de datos) permanecerán en vigor.

4. Naturaleza y finalidad del Tratamiento

El Encargado tratará los Datos Personales únicamente para las siguientes finalidades, necesarias para prestar los servicios contratados:

  • Crear, gestionar y autenticar cuentas del Responsable y licencias de usuarios finales.
  • Entregar descargas, actualizaciones y parches del software.
  • Prestar soporte técnico y resolución de incidencias.
  • Procesar pagos y emitir facturas (a través de subencargados de pago).
  • Asegurar la seguridad, integridad y disponibilidad de los servicios (incluida la prevención del fraude y abuso).
  • Cumplir obligaciones legales a las que el Encargado esté sujeto.

El Encargado no Tratará Datos Personales para ninguna otra finalidad salvo instrucción escrita expresa del Responsable o por exigirlo el Derecho de la Unión o del Estado miembro, en cuyo caso informará al Responsable de dicho requisito legal antes del Tratamiento, salvo que ese Derecho prohíba tal información por razones importantes de interés público.

5. Categorías de Interesados y de Datos Personales

5.1 Categorías de Interesados: - Empleados, contratistas y usuarios autorizados del Responsable. - Administradores, contactos de facturación y contactos técnicos del Responsable.

5.2 Categorías de Datos Personales: - Datos de identidad: nombre completo, cargo. - Datos de contacto: correo electrónico, teléfono, dirección postal. - Datos de cuenta: nombre de usuario, contraseña cifrada, clave de licencia, estado de activación. - Datos técnicos: dirección IP, identificador de dispositivo, sistema operativo, versión del software, archivos de registro. - Datos de uso: uso de funciones, informes de error, histórico de tickets. - Datos de pago: contacto de facturación, número de IVA, historial de facturas. (Los datos de tarjeta se gestionan directamente por proveedores de pago certificados PCI-DSS y nunca llegan a los sistemas de Gixodia.)

5.3 Categorías especiales. Los servicios no están destinados al Tratamiento de categorías especiales (art. 9 RGPD) ni a datos relativos a condenas penales (art. 10). El Responsable no remitirá tales datos a los servicios.

6. Obligaciones del Encargado (art. 28(3) RGPD)

El Encargado:

  • (a) Tratará los Datos Personales únicamente siguiendo instrucciones documentadas del Responsable, incluidas las relativas a transferencias internacionales, salvo que esté obligado por el Derecho de la Unión o del Estado miembro.
  • (b) Garantizará que las personas autorizadas para Tratar Datos Personales se hayan comprometido a la confidencialidad o estén sujetas a una obligación legal de confidencialidad.
  • (c) Adoptará todas las medidas exigidas por el art. 32 RGPD — véase la Sección 8.
  • (d) Respetará las condiciones del art. 28(2) y (4) RGPD para contratar subencargados — véase la Sección 9.
  • (e) Asistirá al Responsable, mediante medidas técnicas y organizativas apropiadas, en el cumplimiento de su obligación de responder a las solicitudes de ejercicio de derechos de los Interesados (Capítulo III RGPD).
  • (f) Asistirá al Responsable en el cumplimiento de los artículos 32 a 36 RGPD.
  • (g) A elección del Responsable, devolverá o suprimirá todos los Datos Personales al finalizar la prestación del servicio, y eliminará las copias existentes salvo que el Derecho de la Unión o del Estado miembro exija su conservación.
  • (h) Pondrá a disposición del Responsable toda la información necesaria para demostrar el cumplimiento del art. 28 RGPD y permitirá y contribuirá a auditorías — véase la Sección 14.

El Encargado informará inmediatamente al Responsable si, en su opinión, una instrucción infringe el RGPD u otras disposiciones de protección de datos.

7. Confidencialidad

El Encargado garantizará que todo el personal autorizado para Tratar Datos Personales esté obligado por deberes escritos de confidencialidad o por obligaciones legales equivalentes. El acceso se concede sobre la base estricta del "necesidad de conocer". Las obligaciones de confidencialidad sobreviven a la terminación del Contrato.

8. Medidas de seguridad (art. 32 RGPD)

Teniendo en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, alcance, contexto y fines del Tratamiento y los riesgos, el Encargado aplicará medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, incluyendo:

  • Cifrado en tránsito: TLS 1.3 para todos los datos en tránsito.
  • Cifrado en reposo: AES-256 en bases de datos y copias de seguridad.
  • Control de acceso: RBAC, principio de mínimo privilegio, MFA obligatoria para personal con acceso a producción.
  • Seguridad de red: WAF, mitigación DDoS, detección de intrusiones, escaneo de vulnerabilidades.
  • Registro y monitorización: registros de auditoría centralizados con al menos 12 meses de retención; detección de anomalías; monitorización 24/7.
  • Continuidad del negocio: copias de seguridad cifradas diarias, almacenamiento geográficamente redundante, procedimientos de recuperación probados.
  • Desarrollo seguro: revisión de código, análisis estático, escaneo de dependencias, gestión de secretos, SDLC seguro.
  • Seguridad física: toda la infraestructura de producción se aloja en centros de datos Tier III+ operados por subencargados con SOC 2 Tipo II e ISO/IEC 27001.
  • Seguridad del personal: comprobaciones de antecedentes donde legalmente se permita, formación en seguridad, acuerdos firmados de confidencialidad.
  • Respuesta a incidentes: plan documentado y probado regularmente.
  • Seudonimización y minimización de datos cuando sea técnicamente factible.
  • Evaluación periódica de la eficacia de las medidas.

Una descripción detallada de las medidas actuales está disponible bajo NDA previa solicitud a support@gixodia.com.

9. Subencargados

9.1 Autorización general. El Responsable concede al Encargado autorización general para contratar Subencargados, sujeta a los requisitos de esta Sección 9.

9.2 Lista actual. La lista actual de Subencargados se publica en https://gixodia.com/legal/subprocessors y forma parte integral de este DPA.

9.3 Notificación de cambios. El Encargado notificará al Responsable toda incorporación o sustitución de Subencargados con al menos 30 días de antelación, actualizando la página de subencargados y, cuando el Responsable esté suscrito, por correo electrónico.

9.4 Derecho de oposición. El Responsable podrá oponerse, por motivos razonables de protección de datos, a cualquier nuevo Subencargado dentro de los 15 días siguientes a la notificación. Si la oposición no puede resolverse, el Responsable podrá rescindir los servicios afectados sin penalización como único recurso exclusivo.

9.5 Obligaciones de traslado. El Encargado impondrá a cada Subencargado obligaciones de protección de datos al menos tan protectoras como las de este DPA.

9.6 Responsabilidad. El Encargado sigue siendo plenamente responsable frente al Responsable del cumplimiento de los Subencargados.

10. Asistencia en los derechos de los Interesados

Teniendo en cuenta la naturaleza del Tratamiento, el Encargado asistirá al Responsable, mediante medidas técnicas y organizativas apropiadas, en la medida de lo razonablemente posible, para el cumplimiento de su obligación de responder a las solicitudes de los Interesados que ejerzan sus derechos conforme al Capítulo III del RGPD. Si un Interesado contacta directamente al Encargado, éste remitirá la solicitud al Responsable sin responder (salvo obligación legal).

11. Notificación de Violaciones de Seguridad

El Encargado notificará al Responsable sin demora indebida tras tener conocimiento de una Violación de la Seguridad de los Datos Personales y, en todo caso, dentro de las 72 horas cuando sea factible. La notificación incluirá, como mínimo y en la medida disponible:

  • Naturaleza de la violación, categorías y número aproximado de Interesados y registros afectados.
  • Nombre y datos de contacto del responsable de protección de datos (support@gixodia.com).
  • Consecuencias probables.
  • Medidas adoptadas o propuestas para hacer frente a la violación y mitigar sus efectos.

El Encargado cooperará con el Responsable para la investigación, mitigación y subsanación.

12. Evaluaciones de Impacto y Consulta Previa

El Encargado prestará asistencia razonable al Responsable con las evaluaciones de impacto relativas a la protección de datos (art. 35 RGPD) y las consultas previas a las autoridades de control (art. 36 RGPD) que el Responsable considere razonablemente necesarias.

13. Supresión o devolución de los Datos Personales

A la terminación o expiración del Contrato, o en cualquier momento previa solicitud escrita del Responsable, el Encargado, a elección del Responsable:

  • Devolverá todos los Datos Personales en un formato de uso común y legible por máquina; o
  • Suprimirá todos los Datos Personales y certificará por escrito que lo ha hecho.

La supresión se realizará en un plazo de 30 días desde la terminación, salvo que el Derecho de la Unión o del Estado miembro exija la conservación. Las copias de seguridad cifradas se sobrescribirán en el ciclo normal de rotación (máximo 90 días).

14. Auditorías e inspecciones

14.1 Derecho de auditoría. El Encargado pondrá a disposición del Responsable toda la información necesaria para demostrar el cumplimiento del art. 28 RGPD y permitirá auditorías, incluidas inspecciones, realizadas por el Responsable o un auditor tercero mutuamente acordado.

14.2 Procedimiento. Las auditorías se realizarán: (a) a expensas del Responsable; (b) durante horario laboral normal con al menos 30 días de preaviso escrito; (c) no más de una vez cada 12 meses, salvo tras una Violación o por requerimiento de una autoridad; (d) sin interferir irrazonablemente en las operaciones del Encargado y respetando la confidencialidad y seguridad de los datos de otros clientes.

14.3 Informes de terceros. El Encargado podrá satisfacer su obligación de auditoría facilitando el informe SOC 2 Tipo II más reciente, certificados ISO/IEC 27001 o evaluaciones independientes equivalentes propias y de sus Subencargados.

15. Transferencias internacionales

15.1 Transferencias fuera del EEE. Cuando se transfieran Datos Personales desde el EEE, el Reino Unido o Suiza a un tercer país no sujeto a una decisión de adecuación, las partes se basarán en:

  • las Cláusulas Contractuales Tipo de la Decisión de Ejecución (UE) 2021/914, Módulo Dos (Responsable a Encargado), que se incorporan a este DPA por referencia y se consideran ejecutadas por las partes;
  • para transferencias desde el Reino Unido, el International Data Transfer Addendum emitido por el ICO (versión B1.0) como suplemento a las SCC;
  • para transferencias desde Suiza, las SCC con las modificaciones recomendadas por el FDPIC.

15.2 Selección de módulo. Se aplica el Módulo Dos cuando Gixodia actúa como Encargado por cuenta del Responsable. El Módulo Tres se aplica entre el Encargado y sus Subencargados.

15.3 Salvaguardias adicionales. Cuando sean necesarias conforme a la sentencia Schrems II y las Recomendaciones 01/2020 del EDPB, el Encargado aplicará medidas técnicas, contractuales y organizativas complementarias.

16. Responsabilidad e indemnizaciones

La responsabilidad de cada parte bajo este DPA está sujeta a las limitaciones del Contrato subyacente. Nada en este DPA limitará la responsabilidad frente a los Interesados bajo el art. 82 RGPD cuando dicha limitación esté prohibida.

17. Ley aplicable y jurisdicción

Este DPA se rige por la ley especificada en el Contrato subyacente, salvo que, cuando dé efecto al RGPD u otro derecho imperativo, prevalezcan las disposiciones imperativas de tal derecho. Las partes se someten a la jurisdicción exclusiva de los tribunales especificados en el Contrato, sin perjuicio de los derechos de los Interesados a presentar reclamaciones en su lugar de residencia habitual.

18. Orden de prelación

En caso de conflicto entre este DPA y el Contrato subyacente, prevalecerá este DPA respecto al Tratamiento de Datos Personales. En caso de conflicto entre este DPA y las SCC, prevalecerán las SCC.

19. Contacto

Para cualquier asunto relativo a este DPA, incluidas solicitudes de copia firmada, auditorías o notificaciones de Violación, contacte con:

Email: support@gixodia.com Asunto: DPA — [nombre del Responsable] — [asunto]

Historial de versiones

  • v1.0 — 2026-04-15 — Publicación inicial incorporando las SCC 2021/914, la UK IDTA y las directrices del FDPIC suizo.

Otros documentos legales

Política de Privacidad
Términos y Condiciones
Aviso de Riesgo
Acuerdo de Licencia de Usuario Final
Política de Cookies
Declaración de Accesibilidad
Política Antiblanqueo y Contra la Financiación del Terrorismo
Subencargados