Acuerdo de Tratamiento de Datos (DPA/AVV)
conforme al Art. 28 párr. 3 GDPR
Basado en la plantilla proporcionada por la Autoridad de Protección de Datos de Baviera (BayLDA). Adaptado para el servicio SaaS Tuurio ID.
Encargado del tratamiento (Data Processor): Tuurio GmbH, Muehlenstr. 8a, 14167 Berlin. Directores generales: Marcus Jueptner, Daniel Kraus. HRB 180639, Amtsgericht Berlin-Charlottenburg. USt-IdNr.: DE305850010 (en adelante “Encargado”).
1. Objeto y duración
Prestación de la solución SaaS “Tuurio ID” (id.tuurio.com) para la gestión de identidades y autenticación, incluyendo: autenticación y autorización OAuth 2.0/OIDC de los usuarios finales del responsable, almacenamiento y gestión de identidades de usuarios, provisión de endpoints de tokens (Authorize, Token, UserInfo, JWKS), registro de eventos de autenticación (registros de auditoría), provisión del módulo de almacén (almacenamiento de datos cifrados), y provisión del panel de administración para la gestión de tenants.
El servicio se presta exclusivamente dentro de un estado miembro de la Unión Europea (Alojamiento: Google Cloud Platform, Región Fráncfort/eu-west3, Alemania). Cualquier traslado del servicio o partes del mismo a un tercer país requiere el consentimiento previo del responsable y solo puede realizarse si se cumplen las condiciones del Art. 44 y ss. GDPR.
El acuerdo se celebra por tiempo indefinido y se aplica durante la duración del uso del servicio Tuurio ID por parte del responsable. Finaliza automáticamente con la rescisión del contrato de servicio.
2. Tipo y finalidad, categorías de datos, interesados
Finalidad del tratamiento: Autenticación, verificación de identidad y gestión de usuarios dentro de la plataforma Tuurio ID para las aplicaciones del responsable.
Categorías de datos
| Categoría | Ejemplos | Conservación |
|---|---|---|
| Datos maestros | Nombre, dirección de correo electrónico, foto de perfil, campos de perfil personalizados | Duración del contrato + 30 días |
| Datos de autenticación | Hashes de contraseñas (Argon2id), semillas MFA, credenciales de passkey | Duración del contrato |
| Datos de sesión/tokens | Tokens de acceso, tokens de actualización, IDs de sesión | Máx. 30 días (tiempo de vida del token) |
| Datos de registro | Marcas de tiempo de inicio de sesión, direcciones IP, cadenas de agente de usuario, eventos de autenticación fallidos | 90 días |
| Datos del almacén | Datos arbitrarios cifrados con AES-256 almacenados por el responsable | Duración del contrato + 30 días |
| Datos OAuth | Client IDs, redirect URIs, scopes, permisos, roles | Duración del contrato |
Interesados
- Usuarios finales de las aplicaciones del responsable (personas físicas que se autentican a través de Tuurio ID)
- Administradores y empleados del responsable (que gestionan tenants y configuraciones)
- Contactos técnicos y usuarios de API
3. Derechos del responsable
El responsable tiene derecho a emitir instrucciones sobre el tratamiento de datos en todo momento, auditar el cumplimiento de este acuerdo por parte del encargado (incluidas inspecciones in situ con aviso razonable) y solicitar información sobre las actividades de tratamiento. El encargado debe informar al responsable de inmediato si una instrucción, en opinión del encargado, infringe la normativa de protección de datos.
4. Obligaciones del encargado
El encargado trata los datos personales únicamente según las instrucciones documentadas del responsable, garantiza que todas las personas autorizadas para tratar datos personales se hayan comprometido a la confidencialidad, implementa y mantiene medidas técnicas y organizativas conforme al Art. 32 GDPR, asiste al responsable en el cumplimiento de las solicitudes de los interesados (Art. 12-22 GDPR), asiste con las evaluaciones de impacto en la protección de datos (Art. 35 GDPR) y las consultas previas (Art. 36 GDPR) cuando corresponda, y pone a disposición del responsable toda la información necesaria para demostrar el cumplimiento.
5. Obligaciones de notificación
El encargado notifica al responsable sin demora indebida (y en todo caso dentro de las 24 horas) cualquier violación de datos personales conforme al Art. 33 GDPR. La notificación incluye la naturaleza de la violación, las categorías de datos afectadas y el número aproximado de personas afectadas, las consecuencias probables, y las medidas adoptadas o propuestas. Contacto: security@tuurio.com.
6. Subencargados del tratamiento
La lista actual de subencargados del tratamiento está disponible en /public/legal/sub-processors. El responsable acepta los subencargados del tratamiento allí indicados. Los cambios se notifican con al menos 30 días de antelación por correo electrónico. El responsable puede oponerse dentro de los 14 días siguientes por razones importantes de protección de datos.
7. Medidas técnicas y organizativas
El encargado implementa medidas técnicas y organizativas apropiadas conforme al Art. 32 GDPR. Los detalles se describen en nuestra página de seguridad. Las medidas principales incluyen: cifrado AES-256 en reposo, TLS 1.3 en tránsito, hash de contraseñas Argon2id (64 MB de resistencia de RAM), aislamiento de tenants mediante separación a nivel de base de datos (filtros Hibernate con alcance tenant_id), copias de seguridad diarias automatizadas y cifradas (retención de 30 días), firma JWT RS256 con rotación de claves específica por tenant, registro exhaustivo de accesos y pistas de auditoría.
8. Obligaciones a la finalización
Tras la finalización del contrato, el responsable puede exportar todos los datos dentro de los 30 días siguientes a través del panel de control en un formato común y legible por máquina (JSON, CSV). Tras el período de exportación de 30 días, todos los datos personales se eliminan de forma irreversible dentro de los 30 días adicionales, salvo que se apliquen obligaciones legales de conservación (p. ej., registros fiscales conforme a GoBD: 10 años). El encargado confirma la eliminación por escrito previa solicitud.
Versión 1.0, 9 de marzo de 2026