Legal

Contrato de Encargo del Tratamiento (DPA)

Última actualización: 4 de junio de 2026

El presente Contrato de Encargo del Tratamiento ("DPA") se incorpora por referencia a los Términos y Condiciones del servicio y regula el tratamiento de datos personales por cuenta del Cliente en cumplimiento del art. 28 del Reglamento (UE) 2016/679 (RGPD).

Este DPA es el contrato de encargo estándar de FactuTPV para el servicio SaaS. Se incorpora por referencia a los Términos y Condiciones y se acepta electrónicamente junto con el Legal Pack. No se aceptan DPA, anexos, órdenes de compra, certificados o plantillas externas del Cliente salvo aceptación expresa, escrita y firmada por FactuTPV, ya que pueden introducir obligaciones incompatibles con la arquitectura, la seguridad y la prestación uniforme del servicio multi-cliente.

1. Partes

De una parte, el Cliente del servicio FactuTPV, en su condición de Responsable del Tratamiento.

De otra parte, Rafael Ulises Baena Herruzo, con NIF 31012668C y domicilio profesional en Calle Fuente Obejuna 17, 14005, Córdoba, que opera bajo la marca FactuTPV, en su condición de Encargado del Tratamiento.

2. Objeto

Este DPA regula el tratamiento de datos personales que FactuTPV realice por cuenta del Cliente como consecuencia de la prestación del servicio, en cumplimiento del art. 28 del RGPD.

3. Duración

Entra en vigor con la contratación del servicio y mantiene su vigencia mientras dure la prestación. Tras la terminación, subsistirán las obligaciones que por su naturaleza deban permanecer (confidencialidad, devolución/supresión, auditoría durante el plazo legal aplicable).

4. Naturaleza, finalidad y ámbito del tratamiento

FactuTPV tratará datos personales por cuenta del Cliente con la única finalidad de prestar el servicio y las funcionalidades asociadas: TPV, facturación, registro y remisión de facturas, funcionalidades SIF/VeriFactu, gestión de clientes finales del Cliente, informes, soporte técnico, copias de seguridad y actividades análogas.

FactuTPV no utilizará los datos para finalidades propias, no los cruzará con los datos de otros clientes y no los cederá a terceros salvo conforme a este DPA o por obligación legal.

La elaboración por FactuTPV de estadísticas agregadas y anónimas sobre el uso del servicio (calculadas sobre agregados de al menos 20 tenants, sin posibilidad razonable de reidentificación y sin incluir importes ni datos comerciales) no constituye tratamiento del encargo y por tanto queda fuera del presente DPA, rigiéndose por la política de privacidad del responsable como tratamiento de FactuTPV bajo interés legítimo (art. 6.1.f RGPD). Véase la sección «Estadísticas agregadas anónimas» de la Política de Privacidad.

5. Categorías de datos e interesados

Categorías de datos:

  • datos identificativos (nombre, apellidos, razón social);
  • datos de contacto (teléfono, email, dirección postal);
  • datos fiscales (NIF/CIF);
  • datos económicos y de facturación (importes, conceptos, ticket/factura);
  • datos laborales básicos (cuando el Cliente gestione usuarios o empleados a través del servicio);
  • metadatos técnicos asociados al uso (logs, IP, timestamps).

FactuTPV no solicita al Cliente categorías especiales de datos (art. 9 RGPD); si el Cliente decidiera introducirlas, lo hará bajo su propia responsabilidad y será el único responsable de que exista base legal y medidas adicionales suficientes.

Categorías de interesados:

  • clientes finales del Cliente (consumidores o empresas);
  • proveedores del Cliente;
  • empleados, colaboradores o personal autorizado del Cliente;
  • cualquier otro interesado cuyos datos el Cliente decida introducir.

6. Instrucciones documentadas del Responsable

FactuTPV tratará los datos únicamente siguiendo las instrucciones documentadas del Cliente. Se consideran tales:

  1. las instrucciones contenidas en los Términos, en este DPA y en la Política de Privacidad;
  2. las configuraciones e instrucciones que el Cliente establezca desde su cuenta;
  3. las instrucciones específicas enviadas por escrito a privacidad@factutpv.es por persona autorizada del Cliente.

FactuTPV informará al Cliente si considera que alguna instrucción infringe el RGPD, la LOPDGDD u otra normativa aplicable.

7. Confidencialidad

FactuTPV garantiza que las personas autorizadas para tratar los datos:

  • están sujetas a deber de confidencialidad, contractualmente o por obligación legal;
  • han recibido formación adecuada en protección de datos;
  • únicamente acceden a los datos estrictamente necesarios para el desempeño de sus funciones (principio de necesidad).

8. Medidas de seguridad (art. 32 RGPD)

FactuTPV aplicará medidas técnicas y organizativas apropiadas al riesgo. Un resumen detallado figura en el Anexo II del presente DPA.

9. Subencargados del tratamiento

El Cliente autoriza con carácter general a FactuTPV a recurrir a los subencargados necesarios para prestar, mantener, asegurar y mejorar el servicio SaaS, incluidos los del Anexo I y los publicados en la lista actualizada de subencargados.

Cualquier incorporación o sustitución de subencargado será notificada al Cliente con una antelación razonable (mínimo 15 días naturales) por email o desde la aplicación. El Cliente podrá oponerse motivadamente. En caso de oposición no resoluble por acuerdo, el Cliente podrá resolver el contrato sin penalización, con prorrateo de la cuota pagada no consumida.

FactuTPV impondrá contractualmente a los subencargados obligaciones de protección de datos equivalentes a las de este DPA y responderá de su cumplimiento frente al Cliente.

9.1. Copias de seguridad

FactuTPV realiza copias de seguridad periódicas de los datos del servicio con la finalidad de garantizar la disponibilidad, resiliencia y restauración de la información ante incidentes técnicos o físicos.

Las copias de seguridad se almacenan en infraestructuras ubicadas dentro de la Unión Europea / Espacio Económico Europeo, salvo que se indique otra cosa en la tabla de subencargados con las garantías aplicables. Por razones de seguridad física, continuidad del servicio y prevención de accesos no autorizados, FactuTPV no publica la dirección exacta ni el centro de datos concreto donde se alojan dichas copias.

FactuTPV podrá facilitar al Cliente información adicional razonable sobre la ubicación jurídica, proveedor, medidas de seguridad y garantías aplicables, siempre que dicha información no comprometa la seguridad del servicio, la confidencialidad de FactuTPV o los derechos de otros clientes. No se realizarán transferencias internacionales de copias de seguridad fuera del Espacio Económico Europeo salvo que exista una base legal adecuada conforme al RGPD y se informe al Cliente conforme al presente DPA.

10. Asistencia en el ejercicio de derechos

FactuTPV asistirá al Cliente, en la medida de lo posible y con los medios técnicos disponibles, para atender las solicitudes de ejercicio de derechos (acceso, rectificación, supresión, limitación, oposición, portabilidad) presentadas por los interesados. Si un interesado se dirige directamente a FactuTPV, éste lo comunicará al Cliente sin demora indebida.

11. Asistencia en otras obligaciones del Responsable

FactuTPV asistirá al Cliente, teniendo en cuenta la naturaleza del tratamiento y la información disponible, en el cumplimiento de los arts. 32 a 36 RGPD:

  • seguridad del tratamiento (art. 32);
  • notificación de brechas a la autoridad (art. 33);
  • comunicación de brechas a los interesados (art. 34);
  • evaluaciones de impacto (art. 35);
  • consulta previa a la autoridad (art. 36).

12. Notificación de incidentes de seguridad

FactuTPV notificará al Cliente, sin demora indebida tras tener conocimiento efectivo, cualquier brecha de seguridad que afecte a datos personales tratados por cuenta del Cliente.

La notificación incluirá, en la medida posible:

  • naturaleza del incidente;
  • categorías y número aproximado de interesados y datos afectados;
  • consecuencias previsibles;
  • medidas adoptadas o propuestas;
  • datos de contacto para coordinar.

El canal de notificación y coordinación es privacidad@factutpv.es.

13. Devolución o supresión de los datos al finalizar

Al finalizar la prestación del servicio, a elección del Cliente, FactuTPV (i) devolverá al Cliente los datos personales tratados; o (ii) los suprimirá de forma segura, y suprimirá las copias existentes, salvo las que debiera conservar por imperativo legal, en cuyo caso las bloqueará hasta la extinción de sus responsabilidades legales.

A efectos meramente orientativos, dichos plazos legales suelen situarse en un rango de 4–6 años por obligaciones fiscales/contables, pudiendo ser mayores por normativa específica (SIF/VeriFactu, prevención de blanqueo u otras).

14. Auditoría

FactuTPV pondrá a disposición del Cliente la información necesaria para demostrar el cumplimiento de las obligaciones previstas en el art. 28 RGPD.

El Cliente podrá auditar el cumplimiento de este DPA, con preaviso razonable, en horario laboral y a su costa, preferentemente mediante revisión documental remota. Los costes de auditorías presenciales serán asumidos por el Cliente, salvo que la auditoría revele un incumplimiento material.

FactuTPV podrá dar cumplimiento a esta obligación mediante certificaciones, informes de terceros o cuestionarios estandarizados cuando sean razonablemente suficientes. La auditoría no podrá comprometer información confidencial de FactuTPV o de otros clientes.

15. Transferencias internacionales

FactuTPV no transferirá datos personales fuera del EEE sin base legal adecuada. Cuando un subencargado implique una transferencia internacional, se adoptará el mecanismo procedente (decisión de adecuación, Cláusulas Contractuales Tipo, BCR o excepciones tasadas del art. 49 RGPD) y, cuando proceda, medidas complementarias tras el análisis de impacto.

16. Responsabilidad

Cada parte responde frente a la otra por el incumplimiento de sus obligaciones conforme al RGPD y al presente DPA, con los límites previstos en los Términos del Servicio.

17. Comunicaciones salientes del Cliente

Cuando el Cliente utiliza FactuTPV para enviar facturas, tickets, presupuestos, recordatorios, avisos, confirmaciones, comunicaciones operativas o, en su caso, comunicaciones comerciales a sus propios clientes, proveedores u otros destinatarios, el Cliente actúa como responsable del tratamiento y FactuTPV actúa como encargado del tratamiento y prestador técnico.

El Cliente es el único responsable de determinar la finalidad del envío, el contenido de la comunicación, los destinatarios, la base jurídica aplicable, el cumplimiento del deber de información y, cuando proceda, la obtención y conservación del consentimiento o la aplicación de la excepción legal correspondiente para comunicaciones comerciales. FactuTPV no determina la finalidad, los destinatarios, el contenido ni la base jurídica del envío.

FactuTPV tratará los datos personales necesarios para ejecutar el envío conforme a las instrucciones documentadas del Cliente (cláusula 6), incluyendo la configuración del tenant, las acciones realizadas por usuarios autorizados y las reglas automáticas configuradas por el Cliente. Los datos tratados podrán incluir, entre otros, nombre o razón social del destinatario, dirección de correo electrónico, datos identificativos y fiscales incluidos en facturas o documentos, datos de pedido, importes, vencimientos, contenido de la comunicación, adjuntos, metadatos técnicos de envío, estado de entrega, rebotes, errores y registros necesarios para la trazabilidad y la seguridad del servicio.

Para la ejecución técnica del envío, FactuTPV utiliza infraestructura de correo propia, ubicada en España (Unión Europea / EEE) y sin transferencia internacional; por seguridad no se publican su ubicación física ni su topología. Si FactuTPV incorporase un proveedor externo de correo, figuraría como subencargado conforme a la cláusula 9 y al listado de subencargados. Cuando el Cliente configure su propio servidor SMTP, dicho proveedor será designado por el Cliente y FactuTPV se limitará a transmitir la comunicación conforme a la configuración indicada por el Cliente.

Las comunicaciones comerciales o promocionales que el Cliente envíe desde la plataforma deberán cumplir el RGPD y la LSSI-CE, incluyendo disponer de consentimiento previo o de la excepción de relación contractual previa sobre productos o servicios similares, e incorporar un mecanismo de oposición o baja sencillo y gratuito. FactuTPV pone a disposición del Cliente medios técnicos para excluir destinatarios (lista de exclusión) y podrá limitar, suspender o bloquear el envío ante indicios de abuso, riesgo legal o técnico, quejas o rebotes anómalos, conforme a los Términos.

18. Prevalencia

En caso de conflicto entre este DPA y los Términos del Servicio en lo relativo a protección de datos personales, prevalecerá lo dispuesto en el DPA.

Anexo I — Subencargados del tratamiento

SubencargadoFunciónUbicaciónTransfer. internacional
Cloudflare, Inc.CDN, DNS, WAF y proxy inversoEEUU / global con nodos en la UESí — SCC
Raiola NetworksAlojamiento, base de datos, copias de seguridad y logs del servicioEspaña (UE / EEE)No
Anthropic, PBC (Claude)IA/OCR (solo cuando el Cliente usa OCR/IA)EEUUSí — SCC

Esta tabla se actualizará conforme se incorporen o sustituyan subencargados. Se notificará al Cliente conforme a la cláusula 9.

Anexo II — Medidas técnicas y organizativas (resumen)

Organizativas

  • política interna de protección de datos;
  • compromisos de confidencialidad del personal autorizado;
  • principio de mínimo privilegio y necesidad de conocer;
  • formación en seguridad y privacidad;
  • procedimiento de gestión de incidentes;
  • procedimiento de alta/baja de usuarios internos;
  • revisión periódica de permisos y accesos.

Control de accesos lógicos

  • autenticación de usuarios;
  • contraseñas robustas con hash seguro (bcrypt);
  • control de sesiones y tokens JWT;
  • registro de accesos relevantes y eventos de autenticación.

Cifrado y seguridad de la información

  • cifrado en tránsito (TLS) en comunicaciones web y API;
  • cifrado en reposo cuando proceda;
  • almacenamiento seguro de credenciales.

Infraestructura

  • hosting en proveedor profesional (Raiola Networks) con medidas físicas y de seguridad adecuadas;
  • hardening del sistema operativo y servicios;
  • actualizaciones de seguridad periódicas;
  • monitorización del servicio.

Resiliencia y continuidad

  • copias de seguridad periódicas;
  • procedimientos de restauración;
  • verificación de integridad.

Segregación multi-tenant

  • filtrado por identificador de tenant (tenantId) en todas las consultas a la base de datos;
  • aislamiento lógico de los datos de cada Cliente;
  • pruebas periódicas de integridad de la segregación.

Desarrollo seguro

  • revisiones de código;
  • pruebas automatizadas (backend y end-to-end);
  • gestión de dependencias y actualizaciones;
  • control de versiones y trazabilidad.

Gestión de incidentes

  • canal de notificación (privacidad@factutpv.es);
  • procedimiento de análisis, contención, erradicación y recuperación;
  • registro de incidentes.

Estas medidas se revisarán periódicamente y se adaptarán al estado de la técnica, los costes de aplicación, la naturaleza, alcance, contexto y fines del tratamiento, y los riesgos identificados.

Para cualquier cuestión relacionada con este DPA, puede dirigirse a privacidad@factutpv.es.

Aviso legalTérminos y condicionesPolítica de privacidadDPAPolítica de cookies y tecnologías similaresPrograma de ReferidosContacto