Contrato de encargado de tratamiento (DPA)

Última actualización: 19 de mayo de 2026

Este documento se suscribe electrónicamente al aceptar los Términos y condiciones del Servicio. Su objeto es regular el tratamiento de datos personales que el Titular realiza por cuenta del Usuario (responsable del tratamiento) en el marco del Servicio, conforme al artículo 28 del Reglamento (UE) 2016/679 (RGPD).

1. Partes

  • Responsable del tratamiento: el Usuario que se registra en el Servicio.
  • Encargado del tratamiento: Mackewinsson Palencia, NIF Z0706098A, con domicilio en Calle Alta de San Mateo 7, Málaga, España.

2. Objeto del tratamiento

Procesar los datos fiscales y personales que el Responsable introduce en el Servicio para la emisión de facturas conforme al sistema Veri*Factu de AEAT.

3. Categorías de datos e interesados

  • Datos identificativos: nombre o razón social, NIF, dirección, email.
  • Datos económicos: importes, conceptos, base imponible, cuotas de IVA, números de factura.
  • Interesados: clientes finales del Responsable (personas físicas o jurídicas a quienes éste emite facturas).

4. Duración

Mientras el Responsable mantenga una cuenta activa en el Servicio. Tras la baja, los datos se conservan durante los plazos legales aplicables y, una vez agotados, se eliminan o anonimizan.

5. Obligaciones del Encargado

  • Tratar los datos siguiendo únicamente las instrucciones documentadas del Responsable, incluidas las contenidas en estos Términos y en la configuración del Servicio.
  • Garantizar el deber de confidencialidad del personal autorizado.
  • Aplicar medidas técnicas y organizativas apropiadas: cifrado en tránsito y en reposo, control de acceso por scopes, backups con retención escalonada y registro de auditoría.
  • Notificar al Responsable, sin dilación indebida y en todo caso antes de 72 horas, cualquier brecha de seguridad que afecte a sus datos, indicando naturaleza, datos afectados, consecuencias probables y medidas adoptadas.
  • Asistir al Responsable en la atención de derechos de los interesados.
  • Devolver o suprimir los datos al término del Servicio, conforme a la elección del Responsable, salvo obligación legal de conservación.
  • Mantener un registro de actividades del tratamiento.
  • Demostrar el cumplimiento de las obligaciones del art. 28 RGPD a requerimiento razonable del Responsable.

6. Subencargados (subprocessors)

El Responsable autoriza expresamente al Encargado a recurrir a los siguientes subencargados:

  • Hetzner Online GmbH — alojamiento de la infraestructura API, Alemania (UE).
  • Neon Inc. — base de datos del front-end, EE.UU. (cláusulas contractuales tipo).
  • Stripe Payments Europe Ltd. — tratamiento de pagos, UE / EE.UU.
  • Clerk Inc. — autenticación de usuarios, EE.UU. (cláusulas contractuales tipo + EU-US DPF).
  • Resend Inc. — envío de emails transaccionales, EE.UU. (cláusulas contractuales tipo).
  • GitHub Inc. (GHCR) — registro de imágenes Docker, EE.UU.

El Encargado notificará al Responsable cualquier alta o sustitución de subencargados con al menos 30 días de antelación, dándole derecho a oponerse y, en su caso, terminar el contrato sin penalización.

7. Transferencias internacionales

Cuando un subencargado esté establecido fuera del Espacio Económico Europeo, el Encargado garantiza que la transferencia se ampara en cláusulas contractuales tipo aprobadas por la Comisión Europea o en mecanismos equivalentes reconocidos.

8. Auditoría

El Responsable podrá auditar el cumplimiento del DPA con un preaviso mínimo de 30 días naturales, a través de un tercero independiente y firmando acuerdo de confidencialidad previo. La auditoría se limitará a lo estrictamente necesario para verificar el cumplimiento.

9. Responsabilidades

Cada parte responde de los daños que cause por incumplimiento del RGPD conforme al art. 82 RGPD. La responsabilidad del Encargado se rige adicionalmente por las limitaciones de los Términos y condiciones.