paykit Logo

ACUERDO DE ENCARGO DE TRATAMIENTO (DPA) – POLÍTICA DE PRIVACIDAD

1. Aceptación electrónica (clickwrap) y evidencias

Este Anexo forma parte de las Condiciones Generales de Uso del Servicio SaaS (el “Contrato”). El cliente, en calidad de Responsable del Tratamento (“Responsable”), acepta este DPA mediante el mismo mecanismo de clickwrap utilizado para el Contrato (checkbox no premarcado + botón “Pagar y aceptar condiciones”) o, en su caso, por firma electrónica.

El Proveedor (Encargado del Tratamento, “Encargado”) conservará evidencias de la aceptación: timestamp (UTC), IP , user‑agent, pedido asociado, identificador del cliente/tenant, así como la versión y el hash (SHA‑256) de este DPA. El Encargado remitirá al Responsable copia o URL inmutable del documento aceptado.

2. Objeto, naturaleza y finalidad del tratamiento

Objeto: El presente DPA tiene por objeto regular las condiciones en las que el Encargado tratará datos personales por cuenta del Responsable con motivo de la prestación de los servicios Saas contratados.

Naturaleza: tratamientos automatizados sobre datos de ventas, facturación y usuarios autorizados, incluyendo visualización, registro, estructuración, almacenamiento, consulta, transmisión y supresión según instrucciones del Responsable.

Finalidad: explotación de la plataforma para registrar ventas, emitir tickets/facturas, operar catálogos, panel de administración, integraciones con banca/procesadores de pago, soporte, seguridad y continuidad del servicio.

El Encargado no adquiere en ningún caso la condición de responsable sobre los datos tratados.

3. Duración

Vigencia: la de la relación contractual. A la terminación, el Encargado procederá conforme a la cláusula 11 (retorno/supresión).

4. Tipos de datos y categorías de interesados

Categoría de Datos tratados:

  • Identificación y contacto (clientes finales del Responsable y usuarios del Responsable),
  • Datos de operación comercial (ventas, tickets/facturas, importes, fechas, artículos), metadatos técnicos y logs.
  • Metadatos técnicos (IP , logs de acceso, eventos de seguridad).
  • Datos de usuarios autorizados del responsable.

El Encargado no almacenará datos de tarjeta en claro; cuando sea aplicable, se emplearán tokens o soluciones conformes a PCI‑DSS proporcionadas por terceros.

Categoría de Interesados:

  • Compradores/clientes del Responsable,
  • Usuarios/empleados autorizados del Responsable, y, en lo que proceda, proveedores o contactos del Responsable incluidos en documentos de venta/facturación.

5. Obligaciones del Encargado

  1. Tratar los datos únicamente siguiendo instrucciones documentadas del Responsable y para las finalidades previstas.
  2. Garantizar la confidencialidad del personal autorizado y su formación en protección de datos y seguridad.
  3. Aplicar medidas técnicas y organizativas apropiadas (ver cláusula 9).
  4. No comunicar datos a terceros salvo subencargados autorizados o mandato legal; en este último caso, informar previamente si es legalmente posible.
  5. Asistir al Responsable en la atención de derechos de los interesados (acceso, rectificación, supresión, oposición, limitación, portabilidad).
  6. Asistir en evaluaciones de impacto (DPIA) y consultas previas, en lo que afecte a los servicios del Encargado.
  7. Notificar sin dilación indebida cualquier violación de seguridad que afecte a datos personales, con información suficiente para la valoración y respuesta.
  8. Poner a disposición del Responsable la información necesaria para demostrar el cumplimiento y permitir auditorías razonables (ver cláusula 10).
  9. No utilizar los datos personales para fines propios, incluyendo análisis comercial, reutilización, perfilado, enriquecimiento de bases de datos, publicidad, ni entrenamiento de modelos de inteligencia artificial.

6. Subencargados

El Responsable autoriza al Encargado a recurrir a subencargados para la infraestructura, mensajería, analítica u otras funciones necesarias. El Encargado garantizará que cada subencargado asuma por escrito obligaciones equivalentes a las de este DPA y será responsable frente al Responsable del cumplimiento de tales obligaciones.

El Encargado mantendrá una lista actualizada de subencargados y notificará cambios con antelación razonable. El Responsable podrá oponerse por motivos fundados; en tal caso, las partes procurarán una alternativa razonable. De no ser posible, el Responsable podrá resolver los servicios afectados sin penalización.

7. Transferencias internacionales

Las transferencias fuera del EEE o a países sin decisión de adecuación se ampararán en garantías adecuadas (p. ej., Cláusulas Contractuales Tipo). El Encargado pondrá a disposición del Responsable la documentación aplicable, con las reservas de confidencialidad necesarias.

8. Instrucciones del Responsable

El Encargado tratará los datos conforme a las instrucciones documentadas del Responsable. Si alguna instrucción infringe la normativa, el Encargado lo informará sin demora.

9. Medidas de seguridad

El Encargado implementa medidas como: cifrado en tránsito y en reposo cuando proceda; control de acceso basado en mínimos privilegios; autenticación reforzada para personal de administración; segmentación de entornos; registro y monitorización de eventos; copias de seguridad y planes de continuidad; gestión de vulnerabilidades y parches; pruebas de seguridad periódicas; gestión de proveedores críticos y revisiones de permisos.

10. Auditorías y transparencia

El Responsable podrá realizar o encargar auditorías razonables, con preaviso y sin interferir indebidamente en la operación. El Encargado podrá aportar informes de terceros independientes (p. ej., informes de pruebas de seguridad o certificaciones) como medio suficiente para acreditar el cumplimiento, salvo indicios razonables de incumplimiento.

11. Retorno, exportación y supresión de datos

A la terminación del Contrato, el Encargado pondrá a disposición del Responsable, por un periodo no inferior a 30 días, mecanismos de exportación de datos en formato estructurado. Transcurrido dicho plazo, suprimirá los datos personales del Responsable, salvo bloqueo/conservación exigidos por ley. Las copias de seguridad se eliminarán conforme a ciclos de rotación estándar.

12. Responsabilidad y ley aplicable

El régimen de responsabilidad entre las partes será el previsto en el Contrato, sin perjuicio de las obligaciones imperativas del RGPD/LOPDGDD. Este DPA se rige por la ley española y los juzgados y tribunales pactados en el Contrato.

13. Disposiciones finales

Si alguna cláusula resultase inválida, el resto conservará su validez. El Encargado podrá proponer actualizaciones del DPA por cambios regulatorios o técnicos, notificándolas con antelación razonable.