1. PARTES
De una parte:
El RESPONSABLE DEL TRATAMIENTO (en adelante, "el Cliente"), cuyos datos de
identificación constarán en el momento de la aceptación electrónica de este acuerdo a través del
formulario de onboarding.
De otra parte:
El ENCARGADO DEL TRATAMIENTO (en adelante, "el Prestador"):
- Razón Social: [NOMBRE DE TU EMPRESA O TU NOMBRE]
- NIF: [TU NIF]
- Domicilio: [TU DIRECCIÓN]
- Email: [TU EMAIL DE CONTACTO]
2. OBJETO DEL ENCARGO
Mediante este acuerdo, el Cliente autoriza al Prestador para tratar los datos personales necesarios para
prestar el servicio de "Sistema Automatizado de Clasificación de Facturas", que
incluye:
- Acceso de lectura a correos electrónicos de Outlook con facturas adjuntas
- Procesamiento y extracción de datos de facturas mediante OCR
- Almacenamiento y organización de facturas en Google Drive
- Registro de datos extraídos en Google Sheets
3. DURACIÓN
Este acuerdo tendrá vigencia mientras el Cliente mantenga activo el servicio. El tratamiento de datos
cesará cuando el Cliente:
- Revoque el acceso OAuth desde su cuenta de Google o Microsoft
- Solicite expresamente la cancelación del servicio
- Ejerza su derecho de supresión conforme al artículo 17 del RGPD
4. DATOS OBJETO DE TRATAMIENTO
4.1. Categorías de datos
- Datos de identificación: Nombre, NIF, dirección
- Datos económicos: Importes, conceptos, fechas de facturas
- Datos de contacto: Email, teléfono (cuando aparezcan en facturas)
- Tokens de acceso OAuth (cifrados con AES-256)
4.2. Categorías de interesados
- El Cliente (Responsable del Tratamiento)
- Proveedores del Cliente (emisores de facturas)
- Clientes del Cliente (receptores de facturas)
5. OBLIGACIONES DEL ENCARGADO
El Prestador se compromete a:
- Tratar los datos únicamente siguiendo las instrucciones documentadas del Cliente
- Garantizar la confidencialidad de las personas autorizadas a tratar datos
- Adoptar medidas técnicas y organizativas apropiadas:
- Cifrado AES-256 para tokens OAuth
- Comunicaciones HTTPS/TLS 1.3
- Almacenamiento en servidores UE (Hostinger EU)
- Eliminación automática de logs (30 días)
- No subcontratar sin autorización previa del Cliente (ver cláusula 7)
- Asistir al Cliente en el cumplimiento de derechos ARCO-POL
- Notificar violaciones de seguridad en un plazo máximo de 48 horas
- Suprimir o devolver datos al finalizar el servicio
- Permitir auditorías del Cliente o autoridades de control
6. OBLIGACIONES DEL RESPONSABLE
El Cliente se compromete a:
- Proporcionar instrucciones lícitas y documentadas
- Garantizar que tiene base legal para el tratamiento de los datos
- Informar a los interesados sobre el tratamiento automatizado
- Atender las solicitudes de ejercicio de derechos de los interesados
7. SUBENCARGADOS AUTORIZADOS
El Cliente autoriza expresamente al Prestador a utilizar los siguientes subencargados:
| Subencargado |
Función |
Ubicación |
| Google LLC |
Drive API, Sheets API |
UE (Dublin) |
| Microsoft Corporation |
Outlook/Graph API |
UE (Amsterdam) |
| Mistral AI |
OCR y extracción |
UE (París) |
| Hostinger |
Hosting VPS |
UE |
Todos los subencargados disponen de cláusulas contractuales tipo (SCCs) o certificaciones equivalentes
para transferencias internacionales.
8. TRANSFERENCIAS INTERNACIONALES
Los datos personales se procesan exclusivamente en la Unión Europea. No se realizan transferencias a
terceros países, salvo las inherentes al uso de servicios de Google y Microsoft, que cuentan con las
garantías adecuadas según el artículo 46 del RGPD.
9. DERECHOS DE LOS INTERESADOS
El Prestador asistirá al Cliente para garantizar el cumplimiento de los siguientes derechos:
- Acceso (Art. 15): Proporcionar copia de los datos tratados
- Rectificación (Art. 16): Corregir datos inexactos
- Supresión (Art. 17): Eliminar datos cuando proceda
- Limitación (Art. 18): Restringir el tratamiento
- Portabilidad (Art. 20): Entregar datos en formato estructurado
- Oposición (Art. 21): Cesar tratamiento por motivos legítimos
10. MEDIDAS DE SEGURIDAD (Art. 32 RGPD)
10.1. Medidas técnicas
- Cifrado de tokens OAuth con AES-256-GCM
- Comunicaciones cifradas (TLS 1.3)
- Autenticación mediante OAuth 2.0 (sin almacenamiento de contraseñas)
- Aislamiento de datos por cliente
- Copias de seguridad cifradas
10.2. Medidas organizativas
- Acceso restringido a sistemas de producción
- Registro de actividades de tratamiento (Art. 30)
- Eliminación automática de logs antiguos
- Procedimientos de respuesta a incidentes
11. NOTIFICACIÓN DE BRECHAS DE SEGURIDAD
En caso de violación de seguridad que afecte a datos personales, el Prestador:
- Notificará al Cliente en un plazo máximo de 48 horas
- Proporcionará información sobre la naturaleza de la violación
- Describirá las medidas adoptadas para mitigar los efectos
- Colaborará con el Cliente para la notificación a la AEPD si procede
12. FINALIZACIÓN DEL TRATAMIENTO
Al finalizar la relación contractual, el Prestador:
- Cesará inmediatamente el tratamiento de datos
- Eliminará todos los tokens OAuth almacenados
- Suprimirá los registros de ejecución y logs
- Confirmará la supresión por escrito al Cliente
Excepción: Se conservará este DPA firmado durante 5 años por obligación legal y fiscal.
13. RESPONSABILIDAD
El Prestador responderá de los daños causados por el tratamiento que infrinja el RGPD o las instrucciones
del Cliente. No existirá responsabilidad cuando el daño derive de instrucciones del propio Cliente.
14. JURISDICCIÓN
Este acuerdo se rige por la legislación española y el RGPD. Las partes se someten a los juzgados y
tribunales de [TU CIUDAD], renunciando a cualquier otro fuero.
15. FIRMAS
Las partes manifiestan su conformidad con el presente Acuerdo de Encargado del Tratamiento.
EL RESPONSABLE (Cliente)
Nombre y firma
Fecha
EL ENCARGADO (Prestador)
Nombre y firma
Fecha
Documento generado conforme al artículo 28 del Reglamento (UE) 2016/679 (RGPD).
Última actualización: Enero 2026