Contrato de Encargado del Tratamiento (DPA)
Versión 1.0 · Última actualización: 2026-04-17
Este contrato regula las obligaciones de AuriPro como encargado del tratamiento respecto de los datos personales que el Cliente (responsable) introduzca en la plataforma. Se suscribe de forma electrónica en el momento del alta de la cuenta. El texto definitivo debe ser revisado y, en su caso, ajustado por un profesional con capacidad para adaptarlo a circunstancias concretas.
Exposición
I. Que el Cliente, en su condición de responsable del tratamiento de determinados datos personales, ha contratado con AuriPro un servicio SaaS para la gestión del Libro-Registro de objetos de metales preciosos y herramientas conexas.
II. Que la prestación del servicio implica que AuriPro trate datos personales por cuenta del Cliente, lo que exige la firma del presente contrato conforme al artículo 28 del Reglamento (UE) 2016/679 (RGPD).
III. Que ambas partes reconocen la importancia de garantizar los derechos y libertades de los interesados y la seguridad de los datos tratados.
Cláusulas
1. Partes
Responsable del tratamiento: el Cliente contratante del servicio, identificado en el proceso de alta. En adelante, "el Responsable".
Encargado del tratamiento: Manuel Jurado Reula, NIF 20911817X, Calle Quebrantahuesos N3 1B (España). Contacto: privacy@auripro.es. En adelante, "el Encargado" o "AuriPro".
2. Objeto y ámbito
El Encargado tratará, por cuenta del Responsable, los datos personales introducidos por éste en la plataforma AuriPro con el fin exclusivo de prestar los servicios contratados, descritos en los Términos y Condiciones.
3. Categorías de interesados y datos (Anexo I)
Las categorías de interesados y de datos personales tratados se detallan en el Anexo I de este documento.
4. Duración
El encargo comienza con la aceptación del presente contrato y se extingue con la terminación del contrato principal de servicio. Finalizado el encargo, el Encargado devolverá o eliminará los datos conforme al apartado 11.
5. Obligaciones del Encargado
- Tratar los datos personales únicamente siguiendo las instrucciones documentadas del Responsable, incluidas las relativas a transferencias internacionales, salvo obligación legal directa que imponga otra cosa, supuesto en el que informará al Responsable antes del tratamiento salvo que una norma lo prohíba por interés público.
- Garantizar que las personas autorizadas a tratar los datos se han comprometido a respetar la confidencialidad o están sujetas a una obligación legal equivalente.
- Aplicar todas las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, conforme al artículo 32 RGPD y al Anexo II de este documento.
- No subcontratar tratamientos sin autorización previa del Responsable. La relación de sub-encargados autorizados figura en el Anexo III y en la página pública sub-processors.html; cualquier modificación se comunicará con 30 días de antelación, salvo supuestos de urgencia por seguridad.
- Asistir al Responsable, teniendo en cuenta la naturaleza del tratamiento, mediante las medidas técnicas y organizativas apropiadas para atender las solicitudes de ejercicio de derechos de los interesados (art. 15 a 22 RGPD).
- Ayudar al Responsable a cumplir sus obligaciones en materia de seguridad, notificación de brechas (art. 33-34), evaluación de impacto (art. 35) y consulta previa (art. 36).
- Notificar al Responsable, en el plazo máximo de 48 horas desde que tenga conocimiento, cualquier violación de la seguridad de los datos personales que afecte a los datos objeto del encargo, facilitando la información necesaria para que el Responsable pueda, a su vez, notificar a la AEPD dentro de las 72 horas del art. 33 RGPD.
- Poner a disposición del Responsable la información necesaria para demostrar el cumplimiento de las obligaciones derivadas del presente contrato, permitiendo y contribuyendo a auditorías razonables realizadas por el Responsable o un auditor autorizado.
- Cumplir la obligación de confidencialidad durante y después de la relación contractual.
6. Obligaciones del Responsable
- Entregar al Encargado únicamente los datos estrictamente necesarios para la prestación del servicio, respetando el principio de minimización.
- Asegurarse de contar con base jurídica válida para los tratamientos que encarga.
- Informar a los interesados conforme a los artículos 13 y 14 RGPD. AuriPro proporciona la cláusula informativa como plantilla de apoyo, sin que ello sustituya la responsabilidad del Responsable en su entrega.
- Velar por el uso seguro de las credenciales de acceso y activar la verificación en dos pasos para los usuarios con permisos administrativos.
- No introducir categorías especiales de datos (art. 9 RGPD) más allá de las estrictamente necesarias para el Libro-Registro.
7. Sub-encargados
El Responsable autoriza al Encargado a contratar sub-encargados del tratamiento para la prestación del servicio, siempre que éstos queden sometidos a obligaciones al menos equivalentes a las del presente contrato. El listado autorizado figura en el Anexo III y en sub-processors.html. El Encargado será plenamente responsable frente al Responsable del cumplimiento por parte de los sub-encargados.
8. Transferencias internacionales
Los tratamientos se realizan exclusivamente en territorio español. Las copias de seguridad se almacenan cifradas en infraestructura ubicada en España. No se realizan transferencias a países fuera del Espacio Económico Europeo. Cualquier cambio futuro requerirá cláusulas contractuales tipo o garantías equivalentes y notificación previa al Responsable.
9. Derechos de los interesados
Cuando el Encargado reciba directamente una solicitud de ejercicio de derechos relativa a datos del encargo, la trasladará al Responsable en un plazo máximo de 72 horas, salvo que la solicitud haya sido derivada previamente por el propio Responsable.
10. Brechas de seguridad
El Encargado notificará al Responsable cualquier brecha de seguridad mediante correo electrónico al contacto administrativo registrado, con la información exigida por el artículo 33.3 RGPD: naturaleza de la brecha, categorías y número aproximado de interesados, consecuencias probables y medidas adoptadas o propuestas. Cuando no sea posible facilitar toda la información en ese primer plazo, se remitirá de forma escalonada sin dilación adicional.
11. Terminación
A la finalización del encargo, y a elección del Responsable, el Encargado devolverá al Responsable los datos personales tratados (mediante export) y/o los suprimirá, incluyendo sus copias existentes, salvo que la normativa exija conservarlos. Las copias de seguridad cifradas se eliminarán conforme al calendario de rotación establecido en el Anexo II. Se entregará certificado de supresión si el Responsable lo solicita.
12. Responsabilidad
Cada parte responderá de los daños y perjuicios que cause a la otra o a terceros como consecuencia del incumplimiento del presente contrato. Se aplicarán los principios de responsabilidad del artículo 82 RGPD.
13. Modificaciones
Cualquier modificación sustancial de este contrato requerirá acuerdo expreso entre las partes. Las adaptaciones derivadas de cambios normativos aplicables se comunicarán al Responsable con 30 días de antelación.
14. Ley aplicable y jurisdicción
El presente contrato se rige por la legislación española y por el RGPD. Las controversias se someterán a los Juzgados y Tribunales del domicilio del Encargado, salvo que el ordenamiento imponga otro fuero.
Anexo I — Categorías de interesados y datos
| Categoría de interesados | Datos tratados |
|---|---|
| Vendedores particulares (interesados principales del Libro-Registro) | Nombre, apellidos, DNI/NIE/pasaporte, sexo, fecha de nacimiento, nacionalidad, domicilio, teléfono, fotografía del documento identificativo, fotografía del objeto, firma manuscrita/electrónica, forma de pago, declaración de origen de fondos (si aplica). |
| Empleados / usuarios del Responsable con acceso al panel | Identificativos y de autenticación necesarios para el control de accesos (nombre, email, DNI, rol, credenciales seguras). |
| Clientes del Responsable (en el flujo de facturación, si aplica) | Denominación, NIF, domicilio fiscal, email y datos fiscales básicos. |
Categorías especiales: se evita tratar datos del art. 9 RGPD. La fotografía del documento identificativo no se considera categoría especial en tanto su tratamiento se limita a la finalidad obligatoria del Libro-Registro.
Anexo II — Medidas técnicas y organizativas
Relación de garantías técnicas aplicadas. Los detalles concretos de implementación (algoritmos, parámetros, endpoints internos, rutas) no se publican por motivos de seguridad; se facilitan a auditores bajo acuerdo de confidencialidad a solicitud razonada del Responsable.
| Control | Garantía |
|---|---|
| Cifrado at-rest | Cifrado fuerte aislado por cliente. |
| Cifrado in-transit | Comunicaciones protegidas mediante TLS con configuración reforzada. |
| Búsqueda sin descifrar | Índices ciegos para permitir búsquedas sin exponer los datos originales. |
| Autenticación | Contraseñas protegidas con funciones de hashing resistentes; política de robustez conforme a estándares internacionales; verificación en dos pasos obligatoria para cuentas administrativas; rotación silenciosa de sesión. |
| Control de accesos | Control basado en roles con principio de mínimo privilegio; aislamiento por tenant aplicado a todas las consultas; trazabilidad de accesos de soporte. |
| Protecciones frente a abuso | Protección CSRF, limitación de tasa por origen y cuenta, mitigación anti-enumeración y anti-automatización en puntos críticos. |
| Integridad de auditoría | Registro inmutable con mecanismo de verificación disponible para el Responsable. |
| Detección de abusos | Alertas centralizadas ante eventos de seguridad críticos (autenticación anómala, operaciones privilegiadas, lectura masiva de datos personales). |
| Copias de seguridad | Copias cifradas con rotación documentada y verificaciones periódicas de restauración. |
| Rotación de claves | Procedimiento operacional documentado sin impacto en el servicio. |
| Política de retención | Ventana diaria automatizada en horario de bajo tráfico que aplica los plazos descritos en la Política de Privacidad. |
| Borrado seguro | Supresión con periodo de gracia y cascada íntegra por tenant, respetando los plazos legales de conservación obligatoria. |
| Respuesta a incidentes | Plan documentado con plantilla de notificación a la AEPD dentro del plazo legal de 72 horas. |
| Procesado de ficheros subidos | Salvaguardas contra consumo abusivo de recursos y saneado de metadatos sensibles cuando procede. |
Anexo III — Sub-encargados autorizados
Listado actualizado en sub-processors.html. Los sub-encargados principales son:
| Nombre | Servicio | Ubicación |
|---|---|---|
| IONOS SE | Hosting del servicio y BD principal | España |
| Titular del contrato | Infraestructura física de backup cifrado | España |
| Redsys Servicios de Procesamiento S.L. | Pasarela de pagos (suscripciones) | España |
| SMTP del propio hosting Plesk/IONOS | Envío de correos transaccionales | España |