Contrato de Encargado del Tratamiento (DPA)
Versión 1.2 · Última actualización: 2026-05-12
Exposición
I. Que el Cliente, en su condición de responsable del tratamiento de determinados datos personales, ha contratado con AuriPro un servicio SaaS para la gestión del Libro-Registro de objetos de metales preciosos y herramientas conexas, en el marco de la Orden de 2 de noviembre de 1989, el Real Decreto 197/1988, la Ley Orgánica 4/2015 de Protección de la Seguridad Ciudadana y, cuando proceda, la Ley 10/2010 de prevención del blanqueo de capitales.
II. Que la prestación del servicio implica que AuriPro trate datos personales por cuenta del Cliente, lo que exige la aceptación electrónica del presente contrato conforme al artículo 28 del Reglamento (UE) 2016/679 (RGPD).
Cláusulas
1. Partes
Responsable del tratamiento: el Cliente contratante del servicio, identificado en el proceso de alta. En adelante, "el Responsable".
Encargado del tratamiento: Manuel Jurado Reula, NIF 20911817X, Calle Quebrantahuesos N3, CP 49004, Zamora, Zamora, España. Contacto: privacy@auripro.es. En adelante, "el Encargado" o "AuriPro".
2. Objeto y ámbito
El Encargado tratará, por cuenta del Responsable, los datos personales introducidos por éste en la plataforma AuriPro con el fin exclusivo de prestar los servicios contratados, descritos en los Términos y Condiciones.
3. Categorías de interesados y datos (Anexo I)
Las categorías de interesados y de datos personales tratados se detallan en el Anexo I de este documento.
4. Duración
El encargo comienza con la aceptación del presente contrato y se extingue con la terminación del contrato principal de servicio. Finalizado el encargo, el Encargado devolverá, suprimirá o bloqueará los datos conforme al apartado 11.
5. Obligaciones del Encargado
- Tratar los datos personales únicamente siguiendo las instrucciones documentadas del Responsable, incluidas las relativas a transferencias internacionales, salvo obligación legal directa que imponga otra cosa, supuesto en el que informará al Responsable antes del tratamiento salvo que una norma lo prohíba por interés público.
- Garantizar que las personas autorizadas a tratar los datos se han comprometido a respetar la confidencialidad o están sujetas a una obligación legal equivalente.
- Aplicar todas las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, conforme al artículo 32 RGPD y al Anexo II de este documento.
- No subcontratar tratamientos sin autorización previa, específica o general, del Responsable. La relación de sub-encargados autorizados figura en el Anexo III y en la página pública sub-processors.html; cualquier modificación se comunicará con 30 días de antelación, salvo supuestos de urgencia por seguridad, dando al Responsable la oportunidad de oponerse.
- Asistir al Responsable, teniendo en cuenta la naturaleza del tratamiento, mediante las medidas técnicas y organizativas apropiadas para atender las solicitudes de ejercicio de derechos de los interesados (art. 15 a 22 RGPD).
- Ayudar al Responsable a cumplir sus obligaciones en materia de seguridad, notificación de brechas (art. 33-34), evaluación de impacto (art. 35) y consulta previa (art. 36).
- Notificar al Responsable sin dilación indebida y, cuando sea razonablemente posible, dentro de las 48 horas siguientes a que tenga conocimiento, cualquier violación de la seguridad de los datos personales que afecte a los datos objeto del encargo, facilitando la información necesaria para que el Responsable cumpla sus obligaciones de notificación a la AEPD conforme al art. 33 RGPD.
- Poner a disposición del Responsable la información necesaria para demostrar el cumplimiento de las obligaciones derivadas del presente contrato, permitiendo y contribuyendo a auditorías razonables realizadas por el Responsable o un auditor autorizado.
- Cumplir la obligación de confidencialidad durante y después de la relación contractual.
6. Obligaciones del Responsable
- Entregar al Encargado únicamente los datos estrictamente necesarios para la prestación del servicio, respetando el principio de minimización.
- Asegurarse de contar con base jurídica válida para los tratamientos que encarga.
- Informar a los interesados conforme a los artículos 13 y 14 RGPD. AuriPro proporciona la cláusula informativa como plantilla de apoyo, sin que ello sustituya la responsabilidad del Responsable en su entrega.
- Velar por el uso seguro de las credenciales de acceso y activar la verificación en dos pasos para los usuarios con permisos administrativos.
- No introducir categorías especiales del artículo 9 RGPD ni datos no requeridos por la operativa legal del Libro-Registro.
7. Sub-encargados
El Responsable autoriza de forma general al Encargado a contratar los sub-encargados del tratamiento necesarios para la prestación del servicio, siempre que éstos queden sometidos a obligaciones al menos equivalentes a las del presente contrato. El listado autorizado figura en el Anexo III y en sub-processors.html. El Encargado informará de cualquier incorporación o sustitución prevista con 30 días de antelación, salvo urgencia justificada por seguridad o continuidad del servicio.
El Responsable podrá oponerse por motivos razonables relacionados con la protección de datos. En tal caso, las partes valorarán una alternativa técnicamente equivalente o, si no fuese viable, la resolución del contrato conforme a los Términos. El Encargado seguirá siendo plenamente responsable frente al Responsable del cumplimiento de las obligaciones de los sub-encargados.
8. Transferencias internacionales
Los tratamientos se realizan en territorio español. Las copias de seguridad son realizadas directamente por el Encargado en sistemas propios ubicados en España; se transmiten cifradas de punto a punto a nivel servidor y se almacenan cifradas. No se realizan transferencias a países fuera del Espacio Económico Europeo, salvo consultas técnicas de validación de certificados de firma electrónica frente a la autoridad de certificación correspondiente, cubiertas en su caso por las garantías adecuadas previstas en el RGPD. Cualquier cambio futuro requerirá garantías adecuadas conforme al RGPD y notificación previa al Responsable cuando proceda.
9. Derechos de los interesados
Cuando el Encargado reciba directamente una solicitud de ejercicio de derechos relativa a datos del encargo, la trasladará al Responsable en un plazo máximo de 72 horas, salvo que la solicitud haya sido derivada previamente por el propio Responsable.
10. Brechas de seguridad
El Encargado notificará al Responsable cualquier brecha de seguridad mediante correo electrónico al contacto administrativo registrado, con la información exigida por el artículo 33.3 RGPD: naturaleza de la brecha, categorías y número aproximado de interesados, consecuencias probables y medidas adoptadas o propuestas. Cuando no sea posible facilitar toda la información en ese primer plazo, se remitirá de forma escalonada sin dilación adicional.
11. Terminación
A la finalización del encargo, y a elección del Responsable, el Encargado devolverá al Responsable los datos personales tratados (mediante export) y/o los suprimirá de los sistemas activos, salvo que la normativa exija conservarlos. Las copias de seguridad cifradas se eliminarán conforme a la rotación indicada en el Anexo II. A solicitud razonable del Responsable, se facilitará confirmación de la supresión.
12. Responsabilidad
Cada parte responderá de los daños y perjuicios que cause a la otra o a terceros como consecuencia del incumplimiento del presente contrato. Se aplicarán los principios de responsabilidad del artículo 82 RGPD.
13. Modificaciones
Cualquier modificación sustancial de este contrato requerirá acuerdo expreso entre las partes. Las adaptaciones derivadas de cambios normativos aplicables se comunicarán al Responsable con 30 días de antelación.
14. Ley aplicable y jurisdicción
El presente contrato se rige por la legislación española y por el RGPD. Las controversias se someterán a los Juzgados y Tribunales del domicilio del Encargado, salvo que el ordenamiento imponga otro fuero.
Anexo I — Categorías de interesados y datos
| Categoría de interesados | Datos tratados |
|---|---|
| Vendedores particulares (interesados principales del Libro-Registro) | Nombre, apellidos, DNI/NIE/pasaporte, sexo, fecha de nacimiento, nacionalidad, domicilio, teléfono, fotografía del documento identificativo, fotografía del objeto, firma manuscrita/electrónica, forma de pago, declaración de origen de fondos (si aplica). |
| Empleados / usuarios del Responsable con acceso al panel | Identificativos y de autenticación necesarios para el control de accesos (nombre, email, DNI, rol, credenciales seguras). |
| Clientes del Responsable (en el flujo de facturación, si aplica) | Denominación, NIF, domicilio fiscal, email y datos fiscales básicos. |
Categorías especiales: el servicio no está diseñado para tratar categorías especiales del art. 9 RGPD ni datos biométricos con finalidad de identificación unívoca.
Tratamiento de imagen del documento identificativo. Las fotografías del documento identificativo incluyen la imagen del rostro del titular. AuriPro no aplica tratamientos biométricos automatizados de identificación unívoca (no se extraen ni almacenan plantillas faciales). El uso se limita estrictamente al cumplimiento del libro-registro previsto en la normativa policial y a su exhibición a las autoridades competentes que lo requieran. La mera conservación de la imagen del documento no implica tratamiento biométrico de categoría especial mientras no se apliquen técnicas dirigidas a la identificación unívoca.
Anexo II — Medidas técnicas y organizativas
Relación de garantías técnicas aplicadas. Los detalles concretos de implementación (algoritmos, parámetros, endpoints internos, rutas) no se publican por motivos de seguridad; se facilitan a auditores bajo acuerdo de confidencialidad a solicitud razonada del Responsable.
| Control | Garantía |
|---|---|
| Cifrado at-rest | Campos personales sensibles cifrados a nivel columna en base de datos; ficheros adjuntos del libro-registro cifrados con clave por tenant; copias de seguridad cifradas. Aislamiento lógico por tenant en todas las consultas. |
| Cifrado in-transit | Comunicaciones protegidas mediante TLS. |
| Autenticación | Contraseñas protegidas mediante hashing; verificación en dos pasos para cuentas administrativas; rotación de sesión. |
| Control de accesos | Roles con principio de mínimo privilegio; aislamiento por tenant. |
| Protecciones frente a abuso | CSRF, limitación de tasa, mitigaciones anti-enumeración en puntos críticos. |
| Integridad de auditoría | Registro con mecanismo de verificación de integridad. |
| Copias de seguridad | Copias cifradas en territorio español con rotación. |
| Política de retención y borrado | Aplicación de los plazos descritos en la Política de Privacidad; supresión con periodo de gracia, respetando los plazos legales de conservación obligatoria. |
| Respuesta a incidentes | Asistencia al Responsable para cumplir los plazos de notificación aplicables. |
Anexo III — Sub-encargados autorizados
El listado actualizado y completo se publica en Sub-encargados.