Contrato de Encargo del Tratamiento (DPA)

Última actualización: 16 de junio de 2025

Artículo 28 del Reglamento (UE) 2016/679 — RGPD Versión 1.0 — Fecha: 16 de junio de 2025


Partes

El encargado del tratamiento:

D. VICDE FRUTOS DE FRUTOS, con DNI n.º 47287107G, empresario individual (autónomo), con domicilio fiscal en Monasterio de Sobrado, 6, Esc. D, 3.º B, 28049 Madrid, operador técnico del servicio SaaS Vertey (en adelante, «el Encargado»).

El responsable del tratamiento:

[NOMBRE COMPLETO O RAZÓN SOCIAL DEL CLIENTE], con DNI/NIF/CIF n.º [PENDIENTE], con domicilio en [DIRECCIÓN COMPLETA DEL CLIENTE], representado/a por D./Dña. [NOMBRE DEL REPRESENTANTE], en calidad de [CARGO] (en adelante, «el Responsable»).


Exposición de motivos

I. El Encargado opera una plataforma de software como servicio (SaaS) de gestión empresarial para pequeñas y medianas empresas, accesible a través de navegador web bajo la denominación comercial Vertey, alojada en Google Cloud Platform (regiones europe-southwest1 — Madrid — y europe-west3 — Fráncfort).

II. El Responsable ha suscrito o se dispone a suscribir las Condiciones Generales de Contratación de Vertey, en virtud de las cuales introduce en la plataforma datos personales de sus propios clientes finales, proveedores y empleados, con el fin de gestionar sus operaciones comerciales.

III. El Encargado accede, almacena y procesa datos personales por cuenta e instrucción del Responsable, actuando como encargado del tratamiento conforme al artículo 4.8 y al artículo 28 del Reglamento (UE) 2016/679 (RGPD).

IV. El Responsable ostenta la condición de responsable del tratamiento conforme al artículo 4.7 RGPD, por cuanto determina los fines y los medios del tratamiento.

V. La presente relación queda sujeta al RGPD y a la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).

VI. El presente DPA forma parte integrante de las Condiciones Generales de Contratación. En caso de contradicción, prevalecerá el DPA en todo lo relativo a la protección de datos.


Cláusulas

Cláusula 1.ª — Objeto y duración

1.1. Objeto. El presente DPA regula las condiciones bajo las cuales el Encargado tratará datos personales por cuenta del Responsable en el contexto de la prestación del servicio Vertey. El tratamiento consiste en el almacenamiento, procesamiento y gestión de los datos personales que el Responsable introduce en la plataforma.

1.2. Naturaleza del tratamiento. Las operaciones incluyen: recogida, registro, organización, estructuración, conservación, adaptación, modificación, consulta, extracción, utilización, transmisión a subencargados autorizados, cotejo, interconexión, restricción, supresión y destrucción de datos personales.

1.3. Duración. El presente DPA tendrá la misma vigencia que el contrato principal de servicio. Las obligaciones de confidencialidad tendrán carácter indefinido.


Cláusula 2.ª — Tipo de datos y categorías de interesados

2.1. Categorías de datos personales tratados:

  • Datos identificativos: nombre, apellidos, DNI, NIE y/o CIF/NIF.
  • Datos de contacto: dirección de correo electrónico, número de teléfono y dirección postal.
  • Datos profesionales: cargo, empresa y sector de actividad.
  • Datos de navegación: dirección IP y cookies técnicas necesarias para el funcionamiento de la plataforma.

Se excluye expresamente el tratamiento de categorías especiales de datos (art. 9 RGPD), salvo que el Responsable, bajo su exclusiva responsabilidad, los introduzca en la plataforma, en cuyo caso deberá notificarlo al Encargado de forma previa y por escrito.

2.2. Categorías de interesados:

  • Clientes finales del Responsable.
  • Proveedores del Responsable.
  • Empleados del Responsable.
  • Cualquier otra persona física cuyos datos el Responsable introduzca en la plataforma.

Cláusula 3.ª — Obligaciones del encargado

De conformidad con el artículo 28.3 RGPD, el Encargado se obliga a:

a) Tratar los datos únicamente conforme a instrucciones documentadas del Responsable. El Encargado no tratará los datos para fines propios. Si considerara que alguna instrucción infringe el RGPD, lo comunicará al Responsable de inmediato.

b) Confidencialidad. Todas las personas autorizadas para tratar los datos han asumido por escrito un compromiso de confidencialidad de carácter indefinido.

c) Medidas técnicas y organizativas de seguridad (detalladas en el Anexo I):

  • Cifrado en reposo: AES-256.
  • Cifrado en tránsito: TLS 1.3.
  • Autenticación multifactor (MFA) obligatoria.
  • Control de accesos basado en roles (RBAC), con principio de mínimo privilegio.
  • Copias de seguridad diarias con retención de 24 meses.
  • Registros de auditoría (logs) de todos los accesos a datos personales.
  • Monitorización continua mediante Google Cloud Security Command Center (SCC) Standard.

d) Subencargados. Solo los autorizados en el Anexo II. Ante nuevos subencargados, el Encargado notificará al Responsable con 15 días naturales de antelación, período durante el cual el Responsable podrá oponerse. El Encargado impondrá a los subencargados las mismas obligaciones del presente DPA.

e) Asistencia en derechos ARCO+POL. El Encargado trasladará al Responsable cualquier solicitud de ejercicio de derechos recibida directamente en un plazo máximo de 72 horas. Canal: dpo@vertey.com.

f) Asistencia en seguridad y notificación de brechas. El Encargado notificará al Responsable cualquier violación de seguridad en menos de 24 horas desde su conocimiento. La notificación incluirá: naturaleza de la brecha, categorías y número de interesados afectados, medidas adoptadas. Todas las brechas quedarán documentadas en el registro interno de incidentes.

g) Devolución y supresión de datos. A la extinción del contrato, el Encargado pondrá a disposición del Responsable todos los datos en formato JSON o CSV en un plazo de 30 días naturales, y posteriormente procederá a la supresión segura, emitiendo un certificado escrito de destrucción. Se conservarán únicamente los datos necesarios para cumplir obligaciones legales (facturación: 6 años).

h) Información y auditorías. El Encargado permitirá y contribuirá a la realización de auditorías conforme a la Cláusula 7.ª.


Cláusula 4.ª — Subencargados autorizados

SubencargadoServicioPaísGarantías
Google Ireland Limited (Google Cloud Platform)Alojamiento, cómputo y almacenamiento (europe-southwest1 Madrid / europe-west3 Fráncfort)Irlanda (UE)DPA + SCC de la Comisión Europea
Stripe Payments Europe LimitedProcesamiento de pagos con tarjetaIrlanda (UE)DPA + certificación PCI DSS
Sendinblue SAS (Brevo)Envío de comunicaciones electrónicas transaccionalesFrancia (UE)DPA + alojamiento de datos en la UE

Cláusula 5.ª — Derechos de los interesados

5.1. El Encargado asistirá al Responsable en el cumplimiento de su obligación de atender solicitudes de ejercicio de los derechos reconocidos en los artículos 15 a 22 RGPD: acceso, rectificación, supresión, portabilidad, limitación y oposición.

5.2. Cuando un interesado se dirija directamente al Encargado, este comunicará la solicitud al Responsable en el plazo máximo de 72 horas desde su recepción.

5.3. Canal habilitado: dpo@vertey.com.

5.4. El Encargado no responderá directamente a los interesados en nombre del Responsable sin autorización expresa y previa de este.


Cláusula 6.ª — Notificación de violaciones de seguridad

6.1. Ante cualquier violación de seguridad de los datos, el Encargado notificará al Responsable sin dilación indebida y en un plazo máximo de 24 horas desde que tenga conocimiento de ella.

6.2. La notificación incluirá:

  • Descripción de la naturaleza de la violación.
  • Categorías de datos personales afectados.
  • Número aproximado de interesados afectados.
  • Medidas adoptadas o propuestas para remediar la violación.
  • Datos de contacto del punto de contacto del Encargado.

6.3. El Encargado documentará en un registro interno todas las violaciones producidas, incluidas las que no hayan requerido notificación a la autoridad de control (art. 33.5 RGPD).

6.4. El Encargado colaborará con el Responsable en la gestión de la violación, en la notificación a la AEPD y en la comunicación a los interesados cuando así lo requiera el artículo 34 RGPD.


Cláusula 7.ª — Auditorías e inspecciones

7.1. El Responsable tiene derecho a solicitar una auditoría anual, previa notificación con 30 días naturales de antelación.

7.2. Con carácter ordinario, el Encargado entregará un informe de seguridad anual basado en los controles de Google Cloud SCC Standard, sin coste adicional.

7.3. Las auditorías in situ quedan limitadas a supuestos de indicios objetivos de incumplimiento grave, en horario laborable y bajo compromiso de confidencialidad del auditor.

7.4. Los costes de las auditorías correrán a cargo del Responsable, salvo que se acredite un incumplimiento efectivo por parte del Encargado.


Cláusula 8.ª — Devolución y supresión de datos

8.1. A la extinción del contrato, el Encargado pondrá a disposición del Responsable todos los datos en formato JSON o CSV en un plazo máximo de 30 días naturales.

8.2. Transcurrido ese plazo o confirmada la recepción, el Encargado procederá a la supresión irreversible y segura de todos los datos del Responsable y emitirá un certificado escrito de destrucción.

8.3. El Encargado conservará, en condiciones de bloqueo, únicamente los datos cuya conservación sea obligatoria por ley. Los datos de facturación se conservarán durante 6 años conforme al artículo 30 del Código de Comercio.


Cláusula 9.ª — Ubicación de los datos y transferencias internacionales

9.1. Los datos se almacenan y procesan exclusivamente en centros de datos de la Unión Europea: regiones europe-southwest1 (Madrid) y europe-west3 (Fráncfort) de Google Cloud Platform.

9.2. No se realizan transferencias a países terceros fuera del Espacio Económico Europeo (EEE).

9.3. Si en el futuro fuera necesaria una transferencia fuera del EEE, el Encargado: (i) informará al Responsable con 30 días de antelación; (ii) aplicará las Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea (Decisión 2021/914) u otro mecanismo válido; (iii) recabará el consentimiento expreso del Responsable.


Cláusula 10.ª — Responsabilidad e indemnidad

10.1. El Encargado responderá por los daños directos derivados del incumplimiento de sus obligaciones conforme al artículo 28 RGPD y al presente DPA.

10.2. La responsabilidad máxima agregada queda limitada al importe total abonado por el Responsable durante los 12 meses naturales anteriores al evento generador de la responsabilidad.

10.3. La limitación anterior no aplica en casos de: actuación dolosa o con culpa grave; daños a personas físicas; incumplimiento de las obligaciones de confidencialidad; supuestos de responsabilidad no limitables por imperativo legal.

10.4. Cada parte indemnizará a la otra frente a reclamaciones derivadas de su propio incumplimiento de la normativa de protección de datos.


Cláusula 11.ª — Ley aplicable y jurisdicción

11.1. El presente DPA se rige por el Derecho español, en particular el RGPD, la LOPDGDD y demás normativa de protección de datos aplicable.

11.2. Para cualquier controversia, ambas partes se someten expresamente, con renuncia a cualquier otro fuero, a la jurisdicción exclusiva de los Juzgados y Tribunales de Madrid.


Anexo I — Medidas de seguridad técnicas y organizativas

MedidaDescripción
Cifrado en reposoAES-256 en Google Cloud Storage y bases de datos
Cifrado en tránsitoTLS 1.3 obligatorio en todas las comunicaciones
AutenticaciónMFA obligatorio para todos los accesos con datos personales
Control de accesosRBAC con principio de mínimo privilegio
Copias de seguridadBackups automáticos diarios, retención 24 meses, cifrados, en la UE
Registros de auditoríaGoogle Cloud Audit Logs y Data Access Logs activos
MonitorizaciónGoogle Cloud Security Command Center (SCC) Standard
Protección perimetralGoogle Cloud Armor WAF (DDoS + OWASP Top 10)
Gestión de incidentesProtocolo interno con registro y notificación de brechas
Revisiones de seguridadRevisiones periódicas de la aplicación

Anexo II — Subencargados autorizados

SubencargadoIdentificaciónServicioPaísGarantíasDPA
Google Cloud PlatformGoogle Ireland Limited, Gordon House, Barrow Street, Dublin 4Alojamiento, cómputo, almacenamientoIrlanda (UE)DPA Google + SCC CEcloud.google.com/terms/data-processing-addendum
StripeStripe Payments Europe Limited, 1 Grand Canal Street Lower, Dublin 2Procesamiento de pagosIrlanda (UE)DPA Stripe + PCI DSSstripe.com/es/legal/dpa
Brevo (Sendinblue)Sendinblue SAS, 7 rue de Madrid, 75008 ParísEmails transaccionalesFrancia (UE)DPA Brevo + datos en UEbrevo.com/legal/gdprdpa