Acuerdo de encargo de tratamiento (DPA)
El contrato del artículo 28 del RGPD entre tú (responsable) y nosotros (encargado), publicado íntegro para que tu due diligence no espere a nadie. Si tu departamento legal necesita un ejemplar firmado, pídenoslo y lo enviamos contrafirmado.
1. Partes y objeto
Este acuerdo de encargo de tratamiento («DPA») forma parte de lostérminos y condiciones del servicio y se celebra entre el cliente del servicio (el «Responsable») y DeCA Platform (el «Encargado»). Regula el tratamiento de datos personales que el Encargado realiza por cuenta del Responsable para prestar el servicio de emisión, gestión y custodia de documentos electrónicos de transporte, conforme al Reglamento (UE) 2016/679 («RGPD») y a la Ley Orgánica 3/2018 («LOPDGDD»).
2. Duración
Este DPA rige mientras esté vigente el contrato de servicio y, tras su terminación, mientras el Encargado conserve datos personales del Responsable conforme a la cláusula 9 (incluida la custodia legal de los documentos emitidos, de al menos 1 año desde su emisión).
3. Naturaleza y finalidad del tratamiento
Tratamiento por medios automatizados consistente en la recogida, registro, estructuración, almacenamiento, modificación, consulta, comunicación (a la inspección de transporte y a las personas con quienes el Responsable comparta los documentos), copia de seguridad y supresión de los datos personales contenidos en los documentos de transporte y en los datos maestros del Responsable, con la única finalidad de prestar el servicio descrito en los términos.
4. Tipos de datos y categorías de interesados
- Categorías de interesados: conductores; personas de contacto de cargadores, transportistas, operadores y destinatarios; usuarios del Responsable; en su caso, firmantes de documentos.
- Tipos de datos: datos identificativos y de contacto (nombre, NIF, email, teléfono, domicilio), datos profesionales (empresa, cargo), matrículas y datos de los vehículos, datos de la operación de transporte (origen, destino, fechas, mercancía) y registros de actividad sobre los documentos (eventos, accesos, acuses).
- No está previsto el tratamiento de categorías especiales de datos (art. 9 RGPD). El Responsable se compromete a no incluirlas en los documentos.
5. Obligaciones del Encargado
El Encargado se obliga a:
- Tratar los datos únicamente siguiendo instrucciones documentadas del Responsable, siendo la principal la propia configuración y uso del servicio. Si el Encargado considera que una instrucción infringe la normativa, informará inmediatamente al Responsable.
- Garantizar que las personas autorizadas a tratar datos están sujetas a undeber de confidencialidad contractual.
- Aplicar las medidas técnicas y organizativas del Anexo II (art. 32 RGPD).
- Asistir al Responsable, teniendo en cuenta la naturaleza del tratamiento: (a) en la respuesta al ejercicio de derechos de los interesados, trasladándole sin dilación cualquier solicitud recibida; y (b) en el cumplimiento de las obligaciones de los arts. 32 a 36 RGPD (seguridad, notificación de brechas, evaluaciones de impacto), con la información de que disponga.
- Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de este DPA y permitir y contribuir a auditorías, incluidas inspecciones, realizadas por el Responsable o un auditor por él autorizado, con preaviso razonable, en horario laboral y sin acceso a datos de otros clientes. La documentación publicada (esta página, la de seguridady la de confianza) es la primera capa de esa transparencia.
- Llevar un registro de las actividades de tratamiento efectuadas por cuenta del Responsable (art. 30.2 RGPD).
- No comunicar los datos a terceros salvo instrucción del Responsable (incluida la puesta a disposición de la inspección de transporte inherente al servicio) u obligación legal, en cuyo caso informará al Responsable antes del tratamiento salvo que la ley lo prohíba.
6. Subencargados
- El Responsable otorga una autorización general para recurrir a los subencargados del Anexo III, que es la misma lista publicada en lapágina de confianza.
- El Encargado comunicará cualquier adición o sustitución conal menos 30 días de antelación (publicación en la web y email a los administradores de cuenta). El Responsable podrá oponerse por motivos razonables de protección de datos; si no hay solución alternativa, podrá resolver el contrato sin penalización antes de que el cambio surta efecto.
- El Encargado impone a cada subencargado, por contrato, obligaciones equivalentes a las de este DPA, y responde ante el Responsable del cumplimiento por parte de sus subencargados.
7. Transferencias internacionales
El almacenamiento primario (base de datos y documentos) se realiza en la Unión Europea. Cuando un subencargado esté establecido fuera del Espacio Económico Europeo o pueda acceder a datos desde fuera de él, la transferencia se ampara en una decisión de adecuación (incluido el EU-U.S. Data Privacy Framework, cuando aplique) o en las Cláusulas Contractuales Tipo de la Comisión Europea, según se detalla en el Anexo III.
8. Notificación de violaciones de seguridad
El Encargado notificará al Responsable, sin dilación indebida y a más tardar en 72 horas desde que tenga constancia, cualquier violación de la seguridad que afecte a datos personales tratados por su cuenta, incluyendo la información del art. 33.3 RGPD de que disponga (naturaleza de la violación, categorías y número aproximado de interesados y de registros afectados, consecuencias probables y medidas adoptadas o propuestas), y la irá completando a medida que avance la investigación. Canal de contacto:security@deca.example.
9. Supresión y devolución al término del servicio
A la terminación del contrato, el Responsable puede exportar sus datos desde el panel. A su elección, el Encargado suprimirá o devolverá los datos personales y suprimirá las copias existentes, con dos salvedades: (a) los documentos de transporte emitidos, que permanecerán accesibles para descarga durante el periodo de custodia que exige la normativa de transporte (al menos 1 año desde la emisión de cada documento), y (b) los datos cuya conservación exija otra norma de la Unión o española, que quedarán bloqueados hasta el fin del plazo correspondiente.
10. Responsabilidad y régimen del Responsable
El Responsable garantiza que dispone de base jurídica para los datos que introduce en el servicio, que ha informado a los interesados cuando corresponde y que sus instrucciones son conformes a Derecho. Cada parte responde de las sanciones e indemnizaciones derivadas de sus propios incumplimientos del RGPD, conforme al art. 82 RGPD.
Anexo I — Descripción del tratamiento
| Objeto | Emisión, gestión, comunicación y custodia de documentos electrónicos de transporte |
| Duración | La del contrato de servicio + periodo de custodia legal de los documentos |
| Naturaleza y finalidad | Cláusula 3 de este DPA |
| Datos e interesados | Cláusula 4 de este DPA |
Anexo II — Medidas técnicas y organizativas (art. 32 RGPD)
- Cifrado en tránsito (TLS ≥ 1.2 en todos los servicios) y cifrado en reposo (AES-256).
- Aislamiento multi-tenant aplicado mediante políticas de seguridad a nivel de fila (RLS) en el propio motor de la base de datos.
- Registro de operaciones de solo-añadir con cadena de hashes SHA-256 verificable (integridad y trazabilidad de cada acción sobre los documentos).
- Control de acceso por roles, claves de API con ámbitos, rotables y revocables; las claves se almacenan únicamente como hash.
- Copias de seguridad automáticas diarias y procedimiento de restauración documentado.
- Registro y auditoría de los accesos de soporte; el personal no accede a claves de clientes.
- Webhooks salientes firmados (HMAC-SHA256) para verificación de origen por el cliente.
- Descripción ampliada y actualizada en lapágina de seguridad.
Anexo III — Subencargados autorizados
| Subencargado | Servicio | Datos tratados | Ubicación | Garantías |
|---|---|---|---|---|
| Cloudflare, Inc. | Red de entrega (edge/CDN), servicio de descarga pública de inspección y almacenamiento de los PDF (R2) | PDF de los documentos de transporte y registros técnicos de acceso | Red global; almacenamiento de datos configurado en la UE | DPA con Cláusulas Contractuales Tipo (SCC) y certificación EU-U.S. Data Privacy Framework |
| Supabase, Inc. (sobre AWS) | Base de datos y autenticación de usuarios del panel | Datos de cuenta, maestros (clientes, vehículos, conductores) y datos de los documentos | Región UE (centro de datos de AWS en la Unión Europea) | DPA con SCC; los datos permanecen en la región UE seleccionada |
| Stripe, Inc. | Pasarela de pago y facturación | Datos de facturación y pago (los datos de tarjeta los trata solo Stripe) | UE / EE. UU. | DPA con SCC y certificación EU-U.S. Data Privacy Framework |
| Resend, Inc. | Envío de email transaccional (enlaces al conductor, avisos, notificaciones) | Direcciones de email de destinatarios y contenido de las notificaciones | EE. UU. / UE | DPA con SCC |