Acuerdo de Tratamiento de Datos (DPA)

Ultima actualizacion: Marzo 2026

Este Acuerdo de Tratamiento de Datos ("DPA") complementa los Terminos de Servicio entre quos ("Encargado del Tratamiento") y la organizacion cliente ("Responsable del Tratamiento"), conforme al Articulo 28 del Reglamento General de Proteccion de Datos (RGPD).

1. Ambito y finalidad

Este DPA regula el tratamiento de datos personales que quos realiza por cuenta del Responsable del Tratamiento en el contexto de la prestacion de servicios de evaluacion psicologica digital. Se aplica a todos los datos personales tratados en relacion con el uso de la plataforma quos.

Datos tratados: datos de evaluados (nombre, edad, respuestas a tests, puntuaciones clinicas), datos de profesionales (nombre, email, rol), datos de organizacion (nombre, tipo, configuracion).
Categorias especiales: datos de salud mental (resultados de evaluaciones psicologicas), datos de menores de edad.
Finalidades: prestacion del servicio de evaluacion digital, generacion de informes, almacenamiento seguro de resultados.
Duracion: mientras el contrato de servicios este vigente, mas el periodo de retencion aplicable.

2. Obligaciones del Encargado

quos se compromete a:

Tratar los datos personales unicamente conforme a las instrucciones documentadas del Responsable del Tratamiento.
Garantizar que las personas autorizadas para tratar datos se han comprometido a respetar la confidencialidad.
Implementar las medidas tecnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo (articulo 32 RGPD).
No recurrir a otro encargado del tratamiento sin autorizacion previa por escrito del Responsable.
Asistir al Responsable en el cumplimiento de sus obligaciones respecto a los derechos de los interesados (acceso, rectificacion, supresion, portabilidad).
A eleccion del Responsable, suprimir o devolver todos los datos personales tras la finalizacion del servicio.
Poner a disposicion del Responsable toda la informacion necesaria para demostrar el cumplimiento del articulo 28 RGPD.

3. Sub-encargados del tratamiento

quos utiliza los siguientes sub-encargados para la prestacion del servicio:

Proveedor	Finalidad	Ubicacion
Supabase (AWS EU)	Base de datos y autenticacion	UE (Frankfurt)
Vercel	Hosting de la aplicacion	UE
Stripe	Procesamiento de pagos	UE / EE.UU. (SCC)
Resend	Envio de emails transaccionales	EE.UU. (SCC)

El Responsable sera informado de cualquier cambio en los sub-encargados con un minimo de 30 dias de antelacion, pudiendo oponerse al cambio por motivos justificados.

4. Transferencias internacionales

Todos los datos personales se almacenan en servidores ubicados en la Union Europea. Cuando sea necesario transferir datos fuera del Espacio Economico Europeo (EEE), se aplicaran las garantias adecuadas conforme al Capitulo V del RGPD, incluyendo Clausulas Contractuales Tipo (SCC) aprobadas por la Comision Europea y evaluaciones de impacto de transferencia (TIA) cuando corresponda.

5. Medidas de seguridad

quos implementa las siguientes medidas tecnicas y organizativas:

Cifrado: TLS 1.3 en transito; AES-256 en reposo para bases de datos y backups.
Control de acceso: Row Level Security (RLS) a nivel de base de datos; autenticacion basada en JWT; roles y permisos granulares.
Aislamiento de datos: cada organizacion opera en un contexto de datos aislado mediante RLS; no hay acceso cruzado entre tenants.
Auditorias: registro de actividad (audit log) para acciones criticas; revision periodica de accesos.
Copias de seguridad: backups automaticos diarios con retencion de 90 dias; backups cifrados en ubicacion separada.
Gestion de vulnerabilidades: escaneo automatico de dependencias; actualizaciones periodicas de seguridad.
Formacion: formacion periodica en proteccion de datos para todo el personal con acceso a datos personales.

6. Derechos de auditoria

El Responsable del Tratamiento tiene derecho a realizar auditorias para verificar el cumplimiento de este DPA, sujeto a las siguientes condiciones:

Las auditorias se realizaran con un preaviso minimo de 30 dias.
El alcance de la auditoria se limitara a las actividades de tratamiento cubiertas por este DPA.
quos colaborara razonablemente proporcionando acceso a instalaciones, registros y personal relevante.
El Responsable podra designar a un auditor externo independiente, sujeto a obligaciones de confidencialidad.
quos pondra a disposicion certificaciones y resultados de auditorias de terceros como alternativa a auditorias individuales cuando sea posible.

7. Notificacion de brechas de seguridad

quos notificara al Responsable del Tratamiento sin dilacion indebida (y en todo caso dentro de las 48 horas siguientes) tras tener conocimiento de cualquier brecha de seguridad que afecte a datos personales. La notificacion incluira: la naturaleza de la brecha, las categorias y numero aproximado de interesados afectados, las posibles consecuencias y las medidas adoptadas o propuestas.

8. Retencion y eliminacion

Tras la finalizacion del contrato de servicios, quos suprimira o devolvera todos los datos personales al Responsable del Tratamiento, a su eleccion, y eliminara las copias existentes salvo que la legislacion aplicable requiera su conservacion. Los periodos de retencion especificos son configurables por organizacion a traves de la plataforma.

Data Processing Agreement (DPA)

Last updated: March 2026

This Data Processing Agreement ("DPA") supplements the Terms of Service between quos ("Processor") and the client organization ("Controller"), pursuant to Article 28 of the General Data Protection Regulation (GDPR).

1. Scope and Purpose

This DPA governs the processing of personal data that quos carries out on behalf of the Controller in connection with the provision of digital psychological assessment services. It applies to all personal data processed in relation to the use of quos platform.

Data processed: evaluee data (name, age, test responses, clinical scores), professional data (name, email, role), organization data (name, type, configuration).
Special categories: mental health data (psychological assessment results), data of minors.
Purposes: provision of digital assessment services, report generation, secure storage of results.
Duration: for the term of the service agreement plus the applicable retention period.

2. Processor Obligations

quos undertakes to:

Process personal data only on documented instructions from the Controller.
Ensure that authorized personnel have committed to confidentiality.
Implement appropriate technical and organizational measures to ensure a level of security appropriate to the risk (Article 32 GDPR).
Not engage another processor without prior written authorization from the Controller.
Assist the Controller in fulfilling its obligations regarding data subject rights (access, rectification, erasure, portability).
At the choice of the Controller, delete or return all personal data after the end of services.
Make available all information necessary to demonstrate compliance with Article 28 GDPR.

3. Sub-processors

quos uses the following sub-processors for service delivery:

Provider	Purpose	Location
Supabase (AWS EU)	Database and authentication	EU (Frankfurt)
Vercel	Application hosting	EU
Stripe	Payment processing	EU / US (SCC)
Resend	Transactional email delivery	US (SCC)

The Controller will be notified of any changes to sub-processors with a minimum of 30 days' notice, and may object to the change on justified grounds.

4. International Transfers

All personal data is stored on servers located within the European Union. When it is necessary to transfer data outside the European Economic Area (EEA), appropriate safeguards under Chapter V of the GDPR will be applied, including Standard Contractual Clauses (SCC) approved by the European Commission and Transfer Impact Assessments (TIA) where applicable.

5. Security Measures

Encryption: TLS 1.3 in transit; AES-256 at rest for databases and backups.
Access control: Row Level Security (RLS) at the database level; JWT-based authentication; granular roles and permissions.
Data isolation: each organization operates in an isolated data context via RLS; no cross-tenant access.
Audit logging: activity logging for critical actions; periodic access reviews.
Backups: automatic daily backups with 90-day retention; encrypted backups in a separate location.
Vulnerability management: automated dependency scanning; regular security updates.

6. Audit Rights

The Controller has the right to conduct audits to verify compliance with this DPA, subject to the following conditions:

Audits require a minimum of 30 days' prior notice.
Audit scope is limited to processing activities covered by this DPA.
quos will cooperate reasonably by providing access to facilities, records, and relevant personnel.
The Controller may appoint an independent external auditor, subject to confidentiality obligations.
quos will make available certifications and third-party audit results as an alternative to individual audits where possible.

7. Breach Notification

quos will notify the Controller without undue delay (and in any case within 48 hours) after becoming aware of any personal data breach. The notification will include: the nature of the breach, the categories and approximate number of affected data subjects, the likely consequences, and the measures taken or proposed.

8. Retention and Deletion

Upon termination of the service agreement, quos will delete or return all personal data to the Controller, at the Controller's choice, and delete existing copies unless applicable law requires their retention. Specific retention periods are configurable per organization through the platform.