Contrato de Encargado del Tratamiento (DPA)
Data Processing Agreement - Última actualización: 28 de noviembre de 2025
1. Objeto del contrato
El presente Contrato de Encargado del Tratamiento (en adelante, "DPA") regula el tratamiento de datos personales que Verifacturing (en adelante, "Encargado") realiza por cuenta del cliente (en adelante, "Responsable") en el marco de la prestación de los servicios de facturación electrónica.
Este DPA forma parte integrante de los Términos y Condiciones del servicio y se celebra al amparo del artículo 28 del Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD).
2. Identificación de las partes
2.1 Encargado del Tratamiento
2.2 Responsable del Tratamiento
El cliente que contrata los servicios de Verifacturing, identificado mediante el proceso de registro en la plataforma, actuando como Responsable del Tratamiento de los datos personales de sus propios clientes, proveedores y empleados.
3. Naturaleza y finalidad del tratamiento
El Encargado tratará los datos personales únicamente para las siguientes finalidades:
- Gestión y emisión de facturas electrónicas
- Envío de facturas a la Agencia Tributaria (AEAT) conforme al sistema VeriFactu
- Almacenamiento y conservación de facturas durante el plazo legal
- Generación de informes fiscales y contables
- Procesamiento de pagos a través de pasarelas seguras
- Sincronización bancaria (Open Banking) si el Responsable lo activa
- Digitalización de documentos mediante OCR
- Firma electrónica de documentos
- Comunicaciones con clientes del Responsable (WhatsApp Business, email)
4. Tipos de datos personales tratados
En función de los servicios activados, el Encargado podrá tratar las siguientes categorías de datos:
| Categoría | Tipos de datos | Interesados |
|---|---|---|
| Datos identificativos | Nombre, apellidos, NIF/CIF, dirección, email, teléfono | Clientes y proveedores del Responsable |
| Datos fiscales | Facturas, bases imponibles, IVA, retenciones | Clientes y proveedores del Responsable |
| Datos bancarios | IBAN, movimientos bancarios (si Open Banking activo) | El Responsable |
| Certificados digitales | Certificado FNMT cifrado para firma AEAT | El Responsable |
| Datos de empleados | Nombre, email, rol (usuarios de la plataforma) | Empleados del Responsable |
Importante: Verifacturing NO trata categorías especiales de datos (Art. 9 RGPD) como datos de salud, origen étnico, opiniones políticas o datos biométricos.
5. Duración del tratamiento
El tratamiento de datos se mantendrá durante la vigencia de la relación contractual entre las partes. Una vez finalizada:
- Los datos fiscales se conservarán durante el plazo legal obligatorio (ver Política de Conservación)
- Los datos no sujetos a obligación legal serán eliminados o devueltos al Responsable en un plazo máximo de 30 días
- El Responsable podrá solicitar la exportación de sus datos en formato estándar antes de la finalización
6. Obligaciones del Encargado
Verifacturing, como Encargado del Tratamiento, se compromete a:
6.1 Instrucciones del Responsable
- Tratar los datos únicamente conforme a las instrucciones documentadas del Responsable
- Informar inmediatamente si considera que alguna instrucción infringe la normativa de protección de datos
- No utilizar los datos para fines propios distintos a la prestación del servicio
6.2 Confidencialidad
- Garantizar que las personas autorizadas para tratar datos se han comprometido a respetar la confidencialidad
- Limitar el acceso a los datos al personal estrictamente necesario
- Mantener el deber de secreto incluso después de finalizar la relación contractual
6.3 Medidas de seguridad
- Implementar medidas técnicas y organizativas apropiadas (Art. 32 RGPD)
- Cifrado de datos en tránsito (TLS 1.3) y en reposo (AES-256)
- Control de acceso basado en roles (RBAC)
- Copias de seguridad diarias con retención de 30 días
- Monitorización y registro de accesos
- Evaluación periódica de la eficacia de las medidas
6.4 Subencargados
- No recurrir a otro encargado sin autorización previa del Responsable
- Mantener una lista actualizada de subencargados
- Notificar cambios con 30 días de antelación
- Garantizar que los subencargados cumplen obligaciones equivalentes
6.5 Derechos de los interesados
- Asistir al Responsable en la atención de solicitudes de ejercicio de derechos (acceso, rectificación, supresión, portabilidad, etc.)
- Notificar al Responsable en un plazo de 48 horas cualquier solicitud recibida directamente
6.6 Notificación de brechas
- Notificar al Responsable sin dilación indebida (máximo 24 horas) cualquier brecha de seguridad
- Proporcionar toda la información necesaria para cumplir la obligación de notificación a la AEPD
- Colaborar en la investigación y mitigación del incidente
6.7 Auditorías
- Poner a disposición del Responsable la información necesaria para demostrar cumplimiento
- Permitir y contribuir a auditorías, incluidas inspecciones, realizadas por el Responsable o un auditor autorizado
- Las auditorías se realizarán con preaviso de 30 días y en horario laboral
7. Obligaciones del Responsable
El cliente, como Responsable del Tratamiento, se compromete a:
- Garantizar que dispone de base legal para el tratamiento de los datos que introduce en la plataforma
- Informar a sus clientes, proveedores y empleados sobre el tratamiento de sus datos
- Obtener los consentimientos necesarios cuando la base legal sea el consentimiento
- Proporcionar instrucciones lícitas y documentadas al Encargado
- Notificar al Encargado cualquier cambio que afecte al tratamiento
- Supervisar el cumplimiento del presente contrato
8. Transferencias internacionales
Algunos subencargados pueden estar ubicados fuera del Espacio Económico Europeo. En estos casos, las transferencias se realizan con las siguientes garantías:
| Subencargado | País | Garantía |
|---|---|---|
| Stripe | EE.UU. | Data Privacy Framework + SCCs |
| OpenAI | EE.UU. | Data Privacy Framework |
| Vercel | EE.UU. | Data Privacy Framework + SCCs |
| Modal | EE.UU. | Cláusulas Contractuales Tipo (SCCs) |
La lista completa y actualizada de subencargados está disponible en nuestra página de subencargados.
9. Resolución y efectos
A la finalización de la relación contractual, el Encargado, a elección del Responsable:
- Devolverá todos los datos personales en formato estándar (CSV, JSON)
- Destruirá los datos, salvo que exista obligación legal de conservación
- Certificará la destrucción por escrito si el Responsable lo solicita
El plazo para ejercer esta elección es de 30 días desde la finalización. Transcurrido este plazo sin instrucciones, se procederá a la destrucción segura de los datos no sujetos a obligación legal.
10. Responsabilidad
Cada parte será responsable de los daños causados por el incumplimiento de sus obligaciones bajo este DPA y la normativa de protección de datos aplicable.
El Encargado responderá de los daños causados por el tratamiento cuando:
- No haya cumplido las obligaciones específicas para encargados
- Haya actuado al margen o en contra de las instrucciones del Responsable
La responsabilidad total del Encargado bajo este DPA se limita según lo establecido en los Términos y Condiciones.
11. Legislación aplicable y jurisdicción
Este DPA se rige por la legislación española y europea en materia de protección de datos:
- Reglamento (UE) 2016/679 (RGPD)
- Ley Orgánica 3/2018, de 5 de diciembre (LOPDGDD)
Para cualquier controversia derivada del presente contrato, las partes se someten a los Juzgados y Tribunales de Alicante (España), con renuncia expresa a cualquier otro fuero que pudiera corresponderles.
12. Aceptación
La aceptación de los Términos y Condiciones del servicio implica la aceptación íntegra del presente Contrato de Encargado del Tratamiento.
Para cualquier consulta sobre este DPA, puede contactarnos en: