Papermark cumple con el RGPD en todos sus flujos de trabajo de sala de datos virtual, compartición de documentos y analíticas. Operamos como encargado del tratamiento (en términos del RGPD) para clientes que gestionan datos de residentes de la UE, ofrecemos un Acuerdo de Tratamiento de Datos (DPA) firmado, mantenemos una lista pública de subencargados y admitimos residencia de datos en la UE para implementaciones que lo requieran. Para conocer la postura completa de seguridad y cumplimiento (cifrado, regiones de alojamiento, certificaciones), consulta la página de seguridad de Papermark.
Esta guía explica exactamente cómo cumplimos cada requisito del RGPD y qué significa para los clientes que ejecutan flujos de trabajo regulados por la UE en Papermark.
El Reglamento General de Protección de Datos (RGPD) es una ley integral de protección de datos de la Unión Europea que regula cómo las organizaciones recopilan, procesan, almacenan y protegen los datos personales de los residentes de la UE. Se aplica a cualquier organización que maneje datos de residentes de la UE, independientemente de la ubicación de la organización. El incumplimiento puede resultar en multas de hasta el 4% de los ingresos globales o 20 millones de euros, lo que sea mayor.
El RGPD se basa en siete principios: procesamiento legal, limitación de finalidad, minimización de datos, exactitud, limitación de almacenamiento, integridad y confidencialidad, y responsabilidad. Para un VDR que procesa documentos empresariales confidenciales que contienen datos personales de empleados, inversores o contrapartes, el cumplimiento del RGPD no es opcional.
Las salas de datos virtuales procesan rutinariamente datos personales como parte de flujos de trabajo de fusiones y adquisiciones, recaudación de fondos y auditorías: registros de empleados durante la diligencia debida de recursos humanos, datos de contacto de inversores, firmantes de contratos de clientes, información personal identificable de inversores LP. Cuatro razones hacen que el cumplimiento del RGPD sea esencial para la selección de un VDR.
Alcance global. El RGPD se aplica a cualquier organización que procese datos de residentes de la UE, independientemente de la ubicación de la propia organización. Una empresa estadounidense que recaude fondos de LP europeos debe usar un VDR que cumpla con el RGPD.
Exposición legal. Las multas por incumplimiento se calculan según los ingresos globales: hasta el 4% o 20 millones de euros, lo que sea mayor. Usar un VDR que no cumple con el RGPD crea responsabilidad para el cliente, no solo para el proveedor.
Diligencia debida del proveedor. Los clientes de la UE requieren cada vez más documentación del RGPD (DPA, lista de subprocesadores, residencia de datos) como parte de la incorporación de proveedores. Un VDR que no cumple con el RGPD no supera esa evaluación.
Confianza de los interesados. Los reguladores y tribunales de la UE examinan cada vez más las transferencias transfronterizas, especialmente hacia proveedores de nube estadounidenses después de Schrems II. Un VDR con una postura documentada de cumplimiento del RGPD reduce ese riesgo.
Papermark opera como encargado del tratamiento para clientes que son los responsables del tratamiento de la información que cargan. Procesamos datos personales siguiendo las instrucciones del cliente según se define en nuestro DPA.
Papermark procesa datos personales basándose en cuatro bases legales, según corresponda:
Los interesados (las personas cuyos datos se procesan) pueden ejercer los siguientes derechos a través de su cuenta o mediante una solicitud formal:
Controles técnicos de Papermark que respaldan el cumplimiento del RGPD:
Tres elementos conforman la documentación de RGPD a nivel de adquisición que los compradores de la UE suelen solicitar durante las evaluaciones de proveedores.
Un DPA es el contrato legal entre un responsable del tratamiento (cliente) y un encargado del tratamiento (Papermark) que establece los términos del procesamiento, los derechos de los interesados, las obligaciones de seguridad y los procedimientos de notificación de brechas según el Artículo 28 del RGPD. Papermark proporciona un DPA estándar disponible para revisión y firma, y admite modificaciones específicas del cliente para contratos empresariales.
Papermark mantiene una lista pública de subencargados que identifica a cada tercero que procesa datos de clientes como parte de la prestación del servicio (proveedores de infraestructura, entrega de correo electrónico, analítica). Para cada subencargado, la lista documenta el servicio proporcionado, los datos procesados y la jurisdicción de operación. Los clientes son notificados con anticipación de cualquier cambio sustancial en los subencargados.
Para clientes que requieren que los datos permanezcan dentro de la UE (restricciones de transferencias transfronterizas tras Schrems II, industrias reguladas, requisitos de soberanía de datos), Papermark ofrece:
| Artículo del RGPD | Requisito | Cómo lo implementa Papermark |
|---|---|---|
| Art. 5 | Principios del tratamiento | Base legal documentada, finalidad específica, recopilación mínima de datos |
| Art. 6 | Base legal | Contrato, interés legítimo, consentimiento, obligación legal según corresponda |
| Art. 12-14 | Transparencia e información | Política de privacidad, aviso de cookies, registros de tratamiento a nivel cuenta |
| Art. 15-22 | Derechos de los interesados | Controles integrados en el producto y flujo de solicitudes formales |
| Art. 25 | Privacidad desde el diseño | Privacidad revisada como parte del desarrollo del producto |
| Art. 28 | Obligaciones del encargado | DPA firmado, actividades de tratamiento documentadas |
| Art. 30 | Registros de actividades | ROPA interno mantenido |
| Art. 32 | Seguridad del tratamiento | AES-256, TLS 1.3, MFA, registro de auditoría, SOC 2 Tipo II |
| Art. 33-34 | Notificación de violaciones | Notificación en 72 horas, respuesta a incidentes documentada |
| Art. 35 | EIPD | Realizada para actividades de tratamiento de alto riesgo |
| Art. 44-50 | Transferencias internacionales | Opciones de residencia en la UE, CCT para transferencias internacionales |
Para clientes con sede en la UE. Papermark cumple con los requisitos locales de protección de datos, respalda tus obligaciones de cumplimiento y proporciona el DPA y la documentación de subencargados que tu equipo legal necesita para las evaluaciones de proveedores.
Para clientes internacionales que procesan datos de la UE. La postura de cumplimiento del RGPD de Papermark te permite ejecutar flujos de trabajo de M&A, captación de fondos y diligencia debida que involucran a residentes de la UE sin crear riesgo adicional de cumplimiento.
Para flujos de trabajo de diligencia debida. Los profesionales legales y financieros pueden realizar diligencias transfronterizas sabiendo que la plataforma cumple con los requisitos del RGPD para el tratamiento de datos personales.
Para actividades de recaudación de fondos. Las startups que buscan financiación de LPs europeos pueden demostrar el cumplimiento del RGPD a través de su elección de VDR, lo cual es cada vez más un requisito de adquisición para los LPs institucionales europeos.
Los análisis de documentos página por página proporcionan el registro de auditoría que requiere el Artículo 30:
Para consultar la lista completa de certificaciones, regiones de alojamiento, estándares de cifrado y la lista pública de DPA y subencargados, visite la página de seguridad de Papermark.
| Característica | Papermark |
|---|---|
| Cumple con el RGPD | ✔️ |
| DPA disponible | ✔️ |
| Lista pública de subencargados | ✔️ |
| Residencia de datos en la UE | ✔️ (empresarial, autoalojado) |
| SOC 2 Type II | ✔️ |
| ISO 27001 | Mediante despliegue autoalojado |
| HIPAA | Mediante autoalojado + BAA (empresarial) |
| Cifrado en reposo | AES-256 |
| Cifrado en tránsito | TLS 1.3 |
| MFA | ✔️ |
| Registro de auditoría | Solo anexión, exportable |
| Notificación de violación en 72 horas | ✔️ |
| Opción autoalojada | ✔️ (código abierto AGPL) |
Cumplimiento SOC 2 Tipo II de Papermark explicado: los cinco Criterios de Servicios de Confianza, alcance de la auditoría y qué significa para fusiones y adquisiciones, rondas de financiación y flujos de trabajo regulados en salas de datos virtuales.
Los 12 documentos que los LPs realmente abren primero en una sala de datos del Fondo I, y el manual que los GPs primerizos usaron para cerrar $35M (TBD VC) y €50M+ (Backtrace Capital) en 2026.
Cómo configurar una sala de datos de due diligence en 2026. Cubre flujos de trabajo del lado del comprador vs. vendedor, lista de verificación de documentos, cronograma, seguridad y los 8 tipos de due diligence.
