Contrato de encargo del tratamiento de datos personales (DPA)

1. Partes y definiciones

• Responsable: la persona jurídica o física titular de la cuenta en Escania (asesoría, gestoría u otro profesional), que determina los fines y medios del tratamiento de los datos personales de sus clientes finales y terceros.
• Encargado: Escania, que trata datos personales en nombre del Responsable, en los términos de este contrato y bajo sus instrucciones documentadas.
• Servicio: la plataforma SaaS Escania para recepción, conversión, almacenamiento y organización de documentación tributaria (incluidas facturas y recibos) a través de canales como WhatsApp Business API, Telegram y el panel web.

2. Objeto, naturaleza y duración del tratamiento

El Encargado tratará datos personales únicamente para la prestación del Servicio contratado: recepción de mensajes y archivos, conversión a PDF cuando proceda, almacenamiento seguro, metadatos y, si el plan lo incluye, extracción estructurada (p. ej. OCR) de datos contenidos en documentos, y funciones auxiliares (recordatorios, exportación vinculada al Servicio).

El tratamiento tendrá la duración del contrato de prestación del Servicio y subsistirá mientras el Responsable mantenga activa la cuenta o exista obligación legal o contractual de conservación posterior a la baja.

3. Categorías de interesados y de datos

Sin perjuicio del contenido concreto que envíe o suba el Responsable, el Servicio puede tratar, a título enunciativo:

• Interesados: clientes finales del Responsable y terceros que figuren en documentación (proveedores, destinatarios, trabajadores, etc.).
• Datos identificativos: nombre o razón social, NIF/CIF, dirección o datos de contacto cuando consten en documentos o metadatos.
• Datos económico-fiscales: importes, bases y tipos impositivos, retenciones (IVA, IRPF u otros), números de factura, fechas, descripciones de líneas.
• Archivos: imágenes, PDF u otros formatos admitidos; datos de canales (p. ej. número de teléfono asociado a WhatsApp, identificadores de chat de Telegram) necesarios para la vinculación técnica.
• Datos de cuenta del Responsable: nombre, email y datos de facturación gestionados por el proveedor de pagos.

Pueden tratarse categorías especiales de datos si el Responsable los incluye en la documentación; el Responsable es quien debe valorar la licitud y documentar su base jurídica.

4. Instrucciones del Responsable

El Encargado tratará los datos conforme a las instrucciones del Responsable manifestadas mediante el uso del Servicio (configuración, altas de clientes y dispositivos, envío de documentos) y lo previsto en la Política de privacidad y los Términos de uso, salvo obligación legal que imponga al Encargado un tratamiento distinto; en tal caso, el Encargado informará al Responsable de esa obligación antes del tratamiento, salvo que la ley prohíba dicha información por motivos de interés público.

5. Obligaciones del Encargado

• Tratar los datos únicamente para las finalidades descritas y de acuerdo con el RGPD y la LOPDGDD.
• Garantizar que las personas autorizadas a tratar datos estén sujetas a obligación de confidencialidad.
• Tomar medidas técnicas y organizativas apropiadas (art. 32 RGPD), teniendo en cuenta el estado de la técnica, los costes, la naturaleza, el alcance y los fines del tratamiento, así como riesgos de distinta probabilidad y gravedad para los derechos y libertades de las personas físicas.
• Cumplir el deber de asistencia al Responsable en el ejercicio de los derechos de los interesados, en la medida de lo posible teniendo en cuenta la naturaleza del tratamiento.
• Poner a disposición del Responsable la información necesaria para acreditar el cumplimiento de sus obligaciones y permitir auditorías razonables acordadas entre las partes.
• Borrar o devolver todos los datos personales tras la conclusión del Servicio, según lo acordado en los Términos de uso y la Política de privacidad, salvo obligación legal de conservación.
• Poner en conocimiento del Responsable, sin dilación indebida y por medios adecuados, las violaciones de la seguridad de los datos personales de las que tenga constancia, para que el Responsable pueda notificar a la autoridad de control o interesados cuando proceda.
• No utilizar los datos personales contenidos en los documentos del Responsable para entrenar modelos de IA con fines propios ni para fines de marketing de terceros no vinculados a la prestación del Servicio, salvo anonimización irreversible o base legal independiente debidamente informada.

6. Subencargados

El Responsable autoriza al Encargado a recurrir a subencargados necesarios para la prestación del Servicio. El Encargado informa de los subencargados habituales en la Política de privacidad, incluyendo a título orientativo:

• Proveedor de infraestructura y alojamiento de aplicación (p. ej. Vercel).
• Proveedor de base de datos, autenticación y almacenamiento de objetos (p. ej. Supabase).
• Procesamiento de pagos (Stripe).
• Mensajería oficial WhatsApp / Meta Platforms.
• Servicios de colas o rate limiting (p. ej. Upstash).

El Encargado obligará a los subencargados a cumplir las mismas obligaciones de protección de datos que las establecidas en este contrato. El Responsable puede solicitar información actualizada sobre subencargados mediante los canales de contacto publicados.

7. Transferencias internacionales

Cuando el Servicio implique transferencias fuera del Espacio Económico Europeo, estas se realizarán con las garantías previstas en el RGPD (decisiones de adecuación, cláusulas tipo u otras medidas válidas). El listado de proveedores y, cuando aplique, sus medidas, puede consultarse en la documentación del Encargado y en los acuerdos de los subencargados.

8. Obligaciones del Responsable

• Garantizar que tiene base jurídica e información adecuada para el tratamiento de datos de sus clientes finales y terceros cuya documentación introduzca en el Servicio.
• Facilitar el ejercicio de derechos de los interesados y notificar al Encargado cualquier rectificación, supresión o limitación que deba aplicarse a los datos tratados en encargo.
• Mantener credenciales seguras y utilizar el Servicio conforme a la ley y a los Términos de uso.

9. Contacto

Para cualquier consulta relativa a este encargo del tratamiento: legal@escania.es.