Contrato de Encargo de Tratamiento
1. Identificación de las partes
De una parte, el cliente que contrata o utiliza la plataforma ObrAsist, en adelante el Responsable del Tratamiento.
De otra parte, [NOMBRE FISCAL O RAZÓN SOCIAL], con NIF/CIF [NIF/CIF], domicilio en [DOMICILIO COMPLETO] y email de contacto [EMAIL LEGAL], titular de la plataforma ObrAsist, en adelante el Encargado del Tratamiento.
2. Objeto del encargo
El presente contrato regula el acceso y tratamiento de datos personales por parte del Encargado para prestar al Responsable los servicios de ObrAsist, plataforma SaaS orientada a la gestión de clientes, presupuestos, facturas, gastos, documentos, informes fiscales orientativos y funcionalidades relacionadas.
El Encargado tratará los datos personales únicamente para prestar el servicio contratado y siguiendo las instrucciones documentadas del Responsable.
3. Duración
El presente encargo tendrá la misma duración que la relación contractual entre el Responsable y ObrAsist.
Una vez finalizada la prestación del servicio, el Encargado suprimirá o devolverá los datos personales al Responsable, salvo que exista una obligación legal de conservación aplicable.
4. Naturaleza y finalidad del tratamiento
La naturaleza del tratamiento incluye la recogida, registro, organización, estructuración, conservación, consulta, modificación, extracción, comunicación, envío, generación de documentos, almacenamiento, copia de seguridad y supresión de datos personales introducidos o gestionados por el Responsable mediante ObrAsist.
Las finalidades del tratamiento son:
- Gestión de clientes y contactos profesionales.
- Gestión de presupuestos.
- Gestión de facturas emitidas.
- Gestión de gastos y facturas recibidas.
- Gestión de proveedores.
- Generación de documentos PDF, Excel e informes fiscales orientativos.
- Envío de emails transaccionales o documentos a destinatarios indicados por el Responsable.
- Soporte técnico y mantenimiento de la plataforma.
- Seguridad, control de accesos, logs y copias de seguridad.
- Procesamiento OCR o mediante IA de documentos cuando el Responsable utilice dichas funcionalidades.
5. Tipo de datos personales tratados
ObrAsist podrá tratar, por cuenta del Responsable, las siguientes categorías de datos:
- Datos identificativos: nombre, apellidos, razón social, NIF/CIF.
- Datos de contacto: email, teléfono, dirección postal.
- Datos profesionales o empresariales.
- Datos económicos, fiscales y de facturación.
- Datos incluidos en presupuestos, facturas, gastos, documentos o comunicaciones.
- Datos técnicos asociados al uso del servicio: IP, logs, fechas de acceso, eventos de seguridad.
- Documentos, imágenes o archivos subidos a la plataforma por el Responsable.
6. Categorías de interesados
Las categorías de interesados cuyos datos pueden tratarse son:
- Usuarios autorizados del Responsable.
- Clientes finales del Responsable.
- Proveedores del Responsable.
- Contactos comerciales o profesionales.
- Personas físicas incluidas en facturas, presupuestos, gastos, documentos o comunicaciones.
7. Obligaciones del Encargado
El Encargado se compromete a:
- Tratar los datos personales únicamente siguiendo instrucciones documentadas del Responsable.
- No utilizar los datos para finalidades propias.
- No comunicar los datos a terceros salvo que sea necesario para la prestación del servicio, exista autorización o una obligación legal.
- Garantizar que las personas autorizadas para tratar datos personales se comprometen a respetar la confidencialidad.
- Aplicar medidas técnicas y organizativas apropiadas para proteger los datos personales.
- Asistir razonablemente al Responsable en la atención de derechos de los interesados.
- Ayudar al Responsable, cuando proceda, en el cumplimiento de obligaciones relativas a seguridad, brechas de datos y evaluaciones de impacto.
- Informar al Responsable de las brechas de seguridad que afecten a datos personales tratados por cuenta de este, cuando tenga conocimiento de ellas.
- Suprimir o devolver los datos personales al finalizar la prestación del servicio, salvo obligación legal de conservación.
- Poner a disposición del Responsable la información necesaria para demostrar el cumplimiento de las obligaciones del encargo.
8. Obligaciones del Responsable
El Responsable se compromete a:
- Utilizar ObrAsist conforme a la normativa aplicable en materia de protección de datos.
- Contar con base jurídica suficiente para tratar los datos personales introducidos en la plataforma.
- Informar a los interesados cuando corresponda.
- No introducir datos personales que no sean necesarios para la finalidad del servicio.
- Configurar adecuadamente los usuarios, roles y permisos dentro de su empresa.
- Notificar al Encargado instrucciones razonables y documentadas relativas al tratamiento.
- Revisar los documentos, informes y comunicaciones generadas antes de utilizarlos oficialmente.
9. Confidencialidad
El Encargado garantizará que el personal autorizado para tratar datos personales haya asumido un compromiso de confidencialidad o esté sujeto a una obligación legal de confidencialidad.
Esta obligación se mantendrá incluso después de finalizar la relación contractual.
10. Medidas de seguridad
El Encargado aplicará medidas técnicas y organizativas apropiadas teniendo en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto, las finalidades del tratamiento y los riesgos para los derechos y libertades de las personas.
Entre otras medidas, ObrAsist podrá aplicar:
- Uso de HTTPS.
- Contraseñas cifradas mediante algoritmos seguros.
- Control de acceso por usuario, empresa y rol.
- Separación lógica de datos por empresa.
- Cookies de sesión seguras, HttpOnly y SameSite.
- Regeneración de sesión tras el login.
- Validación de permisos en consultas sensibles.
- Logs de actividad y eventos relevantes.
- Copias de seguridad.
- Medidas de protección frente a accesos no autorizados.
- Control de proveedores y subencargados necesarios para prestar el servicio.
11. Subencargados del tratamiento
El Responsable autoriza al Encargado a recurrir a subencargados cuando sea necesario para prestar el servicio. Estos subencargados podrán incluir proveedores de alojamiento, infraestructura, correo electrónico, pagos, generación de documentos, copias de seguridad, soporte técnico u OCR/IA.
El Encargado deberá seleccionar subencargados que ofrezcan garantías suficientes y suscribir con ellos acuerdos que impongan obligaciones equivalentes a las establecidas en este contrato.
| Proveedor / categoría | Finalidad | Ubicación / transferencias |
|---|---|---|
| [PROVEEDOR DE HOSTING] | Alojamiento de la plataforma y base de datos. | [UE / EEE / TERCER PAÍS] |
| Stripe | Gestión de pagos, suscripciones y prevención de fraude. | Según condiciones y garantías de Stripe. |
| [PROVEEDOR EMAIL] | Envío de emails transaccionales, verificación, recuperación de contraseña y comunicaciones del servicio. | [UE / EEE / TERCER PAÍS] |
| OpenAI u otro proveedor de IA/OCR, si se utiliza | Lectura y extracción de datos de documentos cuando el usuario solicita funciones OCR/IA. | Según condiciones y garantías del proveedor. |
12. Transferencias internacionales
Si para prestar el servicio fuera necesario realizar transferencias internacionales de datos, el Encargado adoptará las garantías adecuadas previstas en la normativa aplicable, como decisiones de adecuación, cláusulas contractuales tipo u otros mecanismos legalmente admitidos.
13. Asistencia en el ejercicio de derechos
Cuando un interesado ejerza ante el Encargado derechos relativos a datos tratados por cuenta del Responsable, el Encargado lo comunicará al Responsable cuando proceda.
El Encargado asistirá razonablemente al Responsable para atender solicitudes de acceso, rectificación, supresión, oposición, limitación del tratamiento, portabilidad y otros derechos reconocidos por la normativa.
14. Brechas de seguridad
El Encargado notificará al Responsable, sin dilación indebida, las brechas de seguridad de datos personales que afecten a datos tratados por cuenta de este y de las que tenga conocimiento.
La comunicación incluirá, cuando sea posible:
- Naturaleza de la brecha.
- Categorías aproximadas de datos e interesados afectados.
- Posibles consecuencias.
- Medidas adoptadas o propuestas para remediar la brecha.
- Medidas recomendadas para mitigar posibles efectos negativos.
15. Auditorías y documentación
El Encargado pondrá a disposición del Responsable información razonablemente necesaria para acreditar el cumplimiento de las obligaciones del presente contrato.
Cualquier auditoría o revisión deberá solicitarse con antelación suficiente, limitarse a lo razonablemente necesario, respetar la confidencialidad y no comprometer la seguridad o disponibilidad del servicio ni los datos de otros clientes.
16. Destino de los datos al finalizar el servicio
Finalizada la relación contractual, el Responsable podrá solicitar la exportación o devolución de sus datos dentro de los medios técnicos disponibles.
Tras la finalización del servicio y una vez vencidos los plazos necesarios para la gestión de la cuenta, el Encargado suprimirá o anonimizará los datos personales, salvo aquellos que deban conservarse bloqueados por obligación legal o para atender posibles responsabilidades.
17. Responsabilidad
El Responsable será responsable de la licitud de los datos introducidos en ObrAsist, de la información facilitada a los interesados y de contar con una base jurídica suficiente para el tratamiento.
Si el Encargado destinara los datos a otra finalidad, los comunicara o los utilizara incumpliendo este contrato o la normativa aplicable, podrá ser considerado responsable del tratamiento respecto de dichos tratamientos.
18. Vigencia y aceptación
Este contrato forma parte de las condiciones aplicables al uso de ObrAsist cuando el cliente utilice la plataforma para tratar datos personales por cuenta propia.
La contratación, registro o uso continuado de ObrAsist implica la aceptación de este Contrato de Encargo de Tratamiento, sin perjuicio de que las partes puedan formalizar un documento adicional si fuera necesario.