Contrato de encargo de tratamiento (DPA)
Acuerdo sobre el tratamiento de datos personales por encargo conforme al art. 28 del RGPD
Preámbulo
El presente contrato concreta las obligaciones de las partes en materia de protección de datos en el marco del uso existente entre ellas de los servicios de 121 Apps GmbH (en adelante, el «Encargado del tratamiento») por parte del cliente (en adelante, el «Responsable del tratamiento»). Se aplica a todas las actividades en las que el Encargado del tratamiento trata datos personales por encargo del Responsable del tratamiento.
§ 1 Objeto, naturaleza, alcance, finalidad y duración
(1) El objeto y la finalidad del tratamiento se derivan del contrato principal subyacente (uso del servicio correspondiente). El Encargado del tratamiento trata los datos exclusivamente para la prestación de los servicios acordados contractualmente y siguiendo instrucciones documentadas del Responsable del tratamiento.
(2) Según el servicio utilizado, el tratamiento comprende en particular la recogida, el registro, la organización, el almacenamiento, la adaptación, la extracción, la consulta, la utilización, la transmisión, la limitación y la supresión de datos personales.
(3) La duración del tratamiento se corresponde con la vigencia del contrato principal.
§ 2 Naturaleza de los datos y categorías de interesados
(1) Naturaleza de los datos personales: según el servicio utilizado, p. ej. datos maestros (nombre, correo electrónico, dirección), datos de contacto, datos de uso y de registro, así como datos de contenido introducidos por el Responsable del tratamiento (p. ej. respuestas de encuestas, datos de pedidos y de proveedores de servicios).
(2) Las categorías especiales de datos personales (art. 9 del RGPD) no son objeto del encargo, salvo que el propio Responsable del tratamiento introduzca tales datos en los datos de contenido; en ese caso, se aplicarán de forma correspondiente los requisitos de protección reforzados.
(3) Categorías de interesados: p. ej. empleados, clientes, interesados comerciales, participantes en encuestas y proveedores de servicios del Responsable del tratamiento.
§ 3 Obligaciones del Encargado del tratamiento
(1) El Encargado del tratamiento trata los datos únicamente siguiendo instrucciones documentadas del Responsable del tratamiento, salvo que esté obligado legalmente al tratamiento. Las instrucciones se imparten en forma de texto o por escrito; las instrucciones impartidas verbalmente deben confirmarse sin demora en forma de texto o por escrito. Cada una de las partes puede designar a las personas autorizadas para impartir instrucciones.
(2) Garantiza que las personas autorizadas para el tratamiento se hayan comprometido a la confidencialidad o estén sujetas a una obligación legal apropiada de secreto.
(3) Adopta todas las medidas técnicas y organizativas exigidas por el art. 32 del RGPD (§ 4 en relación con el Anexo 1).
(4) Asiste al Responsable del tratamiento, en la medida de lo posible, en el cumplimiento de los derechos de los interesados (arts. 12 a 23 del RGPD), así como de las obligaciones de los arts. 32 a 36 del RGPD (seguridad de los datos, notificación de violaciones, evaluación de impacto relativa a la protección de datos).
(5) El Encargado del tratamiento informará inmediatamente al Responsable del tratamiento si, en su opinión, una instrucción infringe las disposiciones en materia de protección de datos.
§ 4 Medidas técnicas y organizativas (art. 32)
El Encargado del tratamiento mantiene medidas técnicas y organizativas apropiadas en el sentido del art. 32 del RGPD, en particular para garantizar la confidencialidad, la integridad, la disponibilidad y la resiliencia de los sistemas, así como para verificar periódicamente su eficacia. Las medidas concretas se describen en el Anexo 1 y forman parte del presente contrato. Las modificaciones sustanciales no podrán situarse por debajo del nivel de protección acordado.
§ 5 Subencargados del tratamiento
(1) El Responsable del tratamiento otorga una autorización general para la contratación de subencargados del tratamiento. El Encargado del tratamiento informará con la debida antelación al Responsable del tratamiento en forma de texto sobre los cambios previstos (incorporación o sustitución). El Responsable del tratamiento puede oponerse a un cambio por motivos importantes de protección de datos dentro de las cuatro semanas siguientes a la información; si no se formula oposición, el cambio se considerará autorizado.
(2) El Encargado del tratamiento obliga a los subencargados a un nivel de protección de datos equivalente (art. 28, apdo. 4 del RGPD). Los subencargados del tratamiento actualmente contratados figuran en el Anexo 2.
§ 6 Violaciones de la seguridad de los datos
El Encargado del tratamiento notificará al Responsable del tratamiento las violaciones de la seguridad de los datos personales sin demora indebida y, a más tardar, dentro de las 24 horas siguientes a tener conocimiento de ellas, y le asistirá en las obligaciones de notificación y comunicación (arts. 33 y 34 del RGPD), de modo que el Responsable del tratamiento pueda cumplir su propio plazo de 72 horas.
§ 7 Supresión y devolución
Una vez concluido el tratamiento, el Encargado del tratamiento suprimirá los datos, a elección del Responsable del tratamiento, o los devolverá y eliminará las copias existentes, salvo que exista una obligación legal de conservación. Hasta la finalización del contrato, el Responsable del tratamiento tiene la posibilidad de exportar sus datos.
§ 8 Pruebas y auditorías
(1) El Encargado del tratamiento pondrá a disposición del Responsable del tratamiento la información necesaria para demostrar el cumplimiento de las obligaciones del art. 28 del RGPD. La prueba podrá aportarse también mediante certificados, atestados o informes actuales de terceros independientes adecuados.
(2) Las verificaciones adicionales (incluidas las inspecciones in situ) se llevarán a cabo con un preaviso razonable de, por regla general, dos semanas, como máximo una vez al año, así como de forma puntual en caso de sospecha concreta, durante el horario comercial habitual y sin perturbación desproporcionada de la actividad. Los costes de una inspección in situ instada por el Responsable del tratamiento correrán a cargo de este, salvo que la inspección revele una infracción significativa por parte del Encargado del tratamiento.
§ 9 Transferencia a terceros países
Como regla general, el tratamiento se realiza exclusivamente dentro de la UE o del EEE. Una transferencia a un tercer país solo se realiza cumpliendo los requisitos de los arts. 44 y siguientes del RGPD. La única excepción actual es la tramitación de pagos a través de Stripe, en la que una transferencia a EE. UU. no puede excluirse por completo y que se basa en las cláusulas contractuales tipo de la UE (art. 46 del RGPD). Por lo demás, no se realiza ninguna transferencia a terceros países.
§ 10 Responsabilidad y disposiciones finales
(1) Para la responsabilidad se aplica el art. 82 del RGPD. En la relación entre las partes se aplican de forma complementaria las disposiciones de responsabilidad del contrato principal.
(2) En caso de contradicción entre este DPA y el contrato principal, prevalecerán las disposiciones de este DPA en las cuestiones de protección de datos.
(3) Se aplica el Derecho alemán. El fuero exclusivo es, en la medida legalmente permitida, Múnich.
(4) Las modificaciones y adiciones a este contrato requieren la forma de texto. Si alguna disposición fuera ineficaz, el contrato conservará su eficacia en lo demás.
(5) El presente DPA pasa a formar parte de la relación contractual junto con el contrato principal. Se celebra electrónicamente cuando el Responsable del tratamiento lo acepta al contratar una suscripción de pago — en el marco del proceso de pedido y pago a través de Stripe o mediante confirmación en su cuenta de cliente. Conforme al art. 28, apdo. 9 del RGPD, no se requiere una firma manuscrita; la forma electrónica es suficiente.
Anexo 1 — Medidas técnicas y organizativas (art. 32 del RGPD)
El Encargado del tratamiento aplica las siguientes medidas. Antes de su utilización, esta relación debe cotejarse con la práctica realmente implementada.
1. Confidencialidad
- Control de acceso físico: operación en centros de datos de Alfahosting GmbH (Halle/Saale) y de Hetzner Online GmbH (Gunzenhausen) con control de acceso físico seguro (entre otros, protección de accesos y videovigilancia).
- Control de acceso a los sistemas: cuentas de usuario individuales, contraseñas seguras, autenticación multifactor para los accesos administrativos, bloqueos automáticos de sesión.
- Control de acceso a los datos: concepto de autorizaciones basado en roles conforme al principio de privilegio mínimo, registro de los accesos administrativos.
- Control de separación: separación lógica por clientes de los datos de los distintos responsables del tratamiento; separación de los entornos de producción, prueba y desarrollo.
- Cifrado: cifrado TLS de la transmisión de datos; cifrado de los datos sensibles en reposo, así como almacenamiento cifrado de credenciales y datos de tokens.
2. Integridad
- Control de entrada: registro de la creación, modificación y supresión; trazabilidad mediante registros de auditoría.
- Control de transmisión: transmisión exclusivamente a través de conexiones cifradas.
3. Disponibilidad y resiliencia
- copias de seguridad periódicas y cifradas y un procedimiento para restablecer la disponibilidad tras un incidente;
- monitorización de los sistemas, protección contra sobrecargas y ataques (entre otros, cortafuegos, protección DDoS), actualizaciones de seguridad puntuales.
4. Procedimientos de verificación, evaluación y valoración periódicas
- verificación periódica de la eficacia de las medidas; revisiones de protección de datos y de seguridad; control del encargo frente a los subencargados del tratamiento;
- protección de datos desde el diseño y por defecto (art. 25 del RGPD).
Anexo 2 — Subencargados del tratamiento
A la fecha del presente contrato se emplean los siguientes subencargados del tratamiento:
- Alfahosting GmbH, Halle (Saale), Alemania — hosting / centro de datos (UE).
- Hetzner Online GmbH, Gunzenhausen, Alemania — hosting / centro de datos (UE).
- Stripe Payments Europe Ltd., Dublín, Irlanda — tramitación de pagos; una transferencia a EE. UU. no queda excluida y se basa en las cláusulas contractuales tipo de la UE.
- Sendinblue GmbH (Brevo), Colonia, Alemania — envío de correos electrónicos y notificaciones (UE).
Última actualización: 6 de julio de 2026
