Contrato de Encargado del Tratamiento (DPA)
Última actualización: 10 de junio de 2026
1. Partes y roles
El Cliente (empresa o autónomo que contrata el modo empresa) es el Responsable del tratamiento. Pedro Manuel Crespo Jiménez, titular de GastoScan, es el Encargado del tratamiento.
2. Objeto, duración, naturaleza y finalidad
El Encargado trata datos personales por cuenta del Responsable con la única finalidad de prestar el servicio GastoScan (digitalización y archivo de facturas de gasto, gestión de equipo y sincronización al Drive del gestor), durante la vigencia de la relación contractual.
3. Tipos de datos y categorías de interesados
| Categorías de datos | Datos identificativos y de contacto de los miembros del equipo (nombre, email, rol); metadatos e imágenes de las facturas de gasto subidas (comercio, fecha, importe, impuestos). |
|---|---|
| Categorías de interesados | Personal del Responsable (gestor y trabajadores) y, en su caso, datos contenidos en las facturas que el Responsable decida digitalizar. |
El Responsable no debe subir categorías especiales de datos (art. 9 RGPD) salvo necesidad y con base legal propia.
4. Obligaciones del Encargado
- Tratar los datos solo siguiendo instrucciones documentadas del Responsable (incluidas las de este contrato y el uso de la App).
- Garantizar la confidencialidad de las personas autorizadas para el tratamiento.
- Aplicar las medidas de seguridad del art. 32 RGPD (cifrado en tránsito, control de acceso por empresa y rol, autenticación).
- Asistir al Responsable en la atención de los derechos de los interesados y en sus obligaciones de los arts. 32-36 (seguridad, brechas, evaluaciones de impacto).
- Notificar al Responsable sin dilación indebida las violaciones de seguridad de las que tenga conocimiento.
- A elección del Responsable, suprimir o devolver los datos al finalizar la prestación, salvo conservación obligatoria por ley.
- Poner a disposición del Responsable la información necesaria para demostrar el cumplimiento y permitir auditorías razonables.
5. Subencargados
El Responsable autoriza el uso de los siguientes subencargados del tratamiento de los datos de la empresa (facturas, identidad de los miembros), con los que el Encargado mantiene contratos conformes al art. 28:
| Subencargado | Servicio | Ubicación |
|---|---|---|
| Google Ireland Ltd. (Firebase / Google Cloud) | Autenticación, base de datos, almacenamiento de PDFs, notificaciones | UE (región eur3) |
El Encargado informará de cualquier cambio de subencargados, dando opción de oposición al Responsable.
Nota sobre Apple: el cobro de la suscripción lo gestiona Apple App Store como responsable del tratamiento independiente de los datos de pago (no es subencargado del Encargado): trata los datos de la transacción bajo su propia política de privacidad. El Encargado no recibe ni almacena datos de pago.
6. Transferencias internacionales
Los datos del modo empresa se alojan en la UE (región europea de Firebase). Cualquier transferencia fuera del EEE se ampara en Cláusulas Contractuales Tipo u otra garantía adecuada del art. 46 RGPD.
7. Responsabilidad
Cada parte responde de los daños que cause por incumplimiento de sus obligaciones conforme al art. 82 RGPD.