← Volver al inicio
RGPD · Art. 28 · Encargado del Tratamiento

Acuerdo de Encargado
del Tratamiento

Data Processing Agreement (DPA)

Última actualización: junio de 2025  ·  factulista.com

El presente Acuerdo de Encargado del Tratamiento (DPA) es parte integrante de la relación contractual entre Factulista y el Usuario, y es exigido por el artículo 28 del Reglamento (UE) 2016/679 (RGPD). Entra en vigor en el momento en que el Usuario acepta las Condiciones de Uso al crear su cuenta en la plataforma, independientemente del plan contratado.
PARTES

Identificación de las partes

Encargado del Tratamiento
Factulista
info@factulista.com
www.factulista.com


En adelante, «el Encargado».
Responsable del Tratamiento
El Usuario
Autónomo o empresa que contrata los servicios de Factulista y cuyos datos de identificación constan en el registro de la cuenta.

En adelante, «el Responsable».

Base legal: Art. 28 RGPD (UE) 2016/679 · Art. 33 LOPDGDD (LO 3/2018)

1

Objeto y ámbito de aplicación

El presente DPA regula las condiciones bajo las cuales Factulista (en adelante, «el Encargado») trata datos personales de terceros por cuenta del Usuario (en adelante, «el Responsable»), en el marco de la prestación del servicio de software de facturación.

El presente acuerdo aplica a todos los usuarios de Factulista, incluidos los usuarios del plan gratuito, desde el momento en que introducen en la plataforma cualquier dato personal de terceros (clientes, proveedores, etc.).

Este DPA prevalecerá sobre cualquier disposición contraria de las Condiciones de Uso o de las Condiciones de Contratación en todo lo relativo a la protección de datos personales.

2

Roles y responsabilidades

A los efectos del RGPD, las partes acuerdan los siguientes roles:

  • El Responsable (Usuario) determina los fines y los medios del tratamiento de los datos personales de sus clientes, proveedores y otros terceros que introduce en la plataforma. Es el único responsable de contar con la base jurídica adecuada para dicho tratamiento.
  • El Encargado (Factulista) trata los datos personales únicamente por instrucción documentada del Responsable, en el marco de la prestación del servicio de facturación, y nunca para fines propios distintos de los acordados en el presente DPA.
Respecto a los datos personales del propio Usuario (nombre, email, NIF, etc.), Factulista actúa como Responsable del tratamiento, conforme a lo establecido en la Política de Privacidad.
3

Naturaleza, finalidad y categorías del tratamiento

Naturaleza del tratamiento

Almacenamiento, organización, consulta, modificación y eliminación de datos personales de terceros introducidos por el Responsable en la plataforma Factulista, con la única finalidad de posibilitar la emisión y gestión de facturas y documentos contables.

Finalidad del tratamiento
  • Almacenamiento de datos de clientes y proveedores del Responsable para la emisión de facturas.
  • Generación, envío y archivo de facturas y otros documentos contables.
  • Cumplimiento de las obligaciones de facturación electrónica aplicables (Verifactu, SII, etc.).
  • Prestación del soporte técnico necesario para el correcto funcionamiento del servicio.
Categorías de interesados
  • Clientes del Responsable (personas físicas o jurídicas).
  • Proveedores del Responsable (personas físicas o jurídicas).
  • Cualquier otro tercero cuyos datos el Responsable introduzca en la plataforma.
Categorías de datos tratados
  • Datos identificativos: nombre y apellidos o razón social, NIF/CIF/NIE.
  • Datos de contacto: dirección postal, correo electrónico, teléfono.
  • Datos económicos y fiscales: importes, conceptos, tipos impositivos, datos bancarios (cuando aplique).
Aviso importante: Factulista no está diseñado para el tratamiento de categorías especiales de datos (datos de salud, ideología, religión, origen racial, etc.) según el Art. 9 RGPD. El Responsable no deberá introducir este tipo de datos en la plataforma.
Duración del tratamiento

El tratamiento se extiende durante toda la vigencia de la relación contractual entre las partes. Tras la resolución del contrato, los datos se conservarán durante 30 días para su posible exportación por el Responsable, transcurridos los cuales serán eliminados de forma segura, salvo obligación legal de conservación más prolongada.

4

Obligaciones del Encargado (Factulista)

Factulista, como Encargado del tratamiento, se compromete a:

Instrucciones documentadas
  • Tratar los datos personales únicamente siguiendo las instrucciones documentadas del Responsable, incluidas las transferencias de datos a terceros países, salvo obligación legal en contrario.
  • Informar al Responsable si considera que alguna instrucción infringe el RGPD u otra normativa de protección de datos aplicable.
Confidencialidad
  • Garantizar que las personas autorizadas para tratar los datos personales se han comprometido a guardar confidencialidad o están sujetas a una obligación legal de confidencialidad.
  • No divulgar los datos a terceros sin instrucción expresa del Responsable, salvo obligación legal.
Seguridad
  • Implementar las medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad apropiado al riesgo, conforme al Art. 32 RGPD (ver cláusula 7).
Subencargados
  • No contratar a otro encargado del tratamiento sin autorización previa del Responsable (autorización general concedida en la cláusula 6 del presente DPA).
  • Imponer a los subencargados las mismas obligaciones de protección de datos que las establecidas en este DPA.
Asistencia al Responsable
  • Asistir al Responsable, en la medida de lo posible, en el cumplimiento de su obligación de responder a las solicitudes de ejercicio de derechos de los interesados.
  • Ayudar al Responsable a garantizar el cumplimiento de los Arts. 32 a 36 RGPD (seguridad, notificación de brechas, evaluaciones de impacto).
  • Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones del presente DPA.
Notificación de brechas
  • Notificar al Responsable, sin dilación indebida y en un plazo máximo de 72 horas desde que tenga conocimiento de ello, cualquier violación de seguridad que afecte a los datos personales tratados por cuenta del Responsable.
5

Obligaciones del Responsable (Usuario)

El Responsable, como titular del tratamiento, declara y se compromete a:

  • Contar con una base jurídica válida (Art. 6 RGPD) para el tratamiento de los datos personales de sus clientes, proveedores y demás terceros que introduzca en la plataforma.
  • Haber informado a los interesados sobre el tratamiento de sus datos de conformidad con los Arts. 13 y 14 RGPD, incluyendo la cesión de dichos datos a Factulista como encargado del tratamiento.
  • No introducir en la plataforma categorías especiales de datos según el Art. 9 RGPD.
  • Garantizar la exactitud y actualización de los datos personales introducidos en la plataforma.
  • Notificar al Encargado cualquier instrucción adicional relativa al tratamiento de datos de forma documentada.
  • Gestionar y atender directamente las solicitudes de ejercicio de derechos de sus propios interesados, solicitando al Encargado la asistencia necesaria.
  • Cumplir con las obligaciones que le corresponden como Responsable del tratamiento conforme al RGPD y la LOPDGDD.
6

Subencargados del tratamiento

El Responsable otorga al Encargado autorización general para contratar subencargados del tratamiento, en los términos del Art. 28.2 RGPD. El Encargado garantiza que los subencargados ofrecen las mismas garantías de protección de datos que las establecidas en el presente DPA.

Los subencargados actualmente utilizados por Factulista para el tratamiento de datos por cuenta del Responsable son:

Subencargado Actividad País / Garantías Política de privacidad
Amazon Web Services (AWS) Alojamiento e infraestructura cloud UE (Irlanda) · Cláusulas contractuales tipo aws.amazon.com/privacy
Stripe, Inc. Procesamiento de pagos UE · Certificado PCI DSS · CCT stripe.com/es/privacy
Google LLC Analítica web (Google Analytics, anonimizado) UE · Marco de Privacidad de Datos UE-EE.UU. policies.google.com/privacy

El Encargado notificará al Responsable con al menos 15 días de antelación cualquier cambio previsto en los subencargados. Si el Responsable se opone a un nuevo subencargado, podrá resolver el contrato sin penalización, notificándolo a info@factulista.com antes de que el cambio entre en vigor.

7

Medidas técnicas y organizativas de seguridad

Conforme al Art. 32 RGPD, el Encargado aplica las siguientes medidas para garantizar un nivel de seguridad adecuado al riesgo:

🔒
Cifrado en tránsito Todas las comunicaciones se realizan sobre HTTPS/TLS 1.2 o superior.
🗄️
Cifrado en reposo Los datos almacenados en los servidores están cifrados mediante AES-256.
🔑
Control de accesos Acceso restringido por roles. Las contraseñas se almacenan con hash bcrypt.
💾
Copias de seguridad Backups automáticos diarios con retención de 30 días y verificación periódica.
🛡️
Protección perimetral Firewalls, monitorización de intrusiones y protección contra ataques DDoS.
👥
Formación del personal El personal con acceso a datos está formado en protección de datos y sujeto a confidencialidad.
El Encargado revisará y actualizará estas medidas periódicamente para adaptarlas a la evolución del estado de la técnica y a los riesgos identificados.
8

Derechos de los interesados

Cuando un interesado (cliente o proveedor del Responsable) ejerza sus derechos ante el Encargado (acceso, rectificación, supresión, oposición, portabilidad o limitación), el Encargado:

  • Redirigirá la solicitud al Responsable sin dilación, identificándola claramente.
  • No responderá directamente al interesado en nombre del Responsable, salvo instrucción expresa de este.
  • Asistirá técnicamente al Responsable para dar respuesta a la solicitud en el plazo de 30 días establecido por el RGPD.

El Responsable es el único competente para atender las solicitudes de sus propios interesados y deberá gestionar su propio canal de atención a derechos conforme al Art. 12 RGPD.

9

Violaciones de seguridad (brechas de datos)

En caso de violación de la seguridad de los datos personales tratados por cuenta del Responsable, el Encargado se compromete a:

  • Notificar al Responsable sin dilación indebida y, en todo caso, en un plazo máximo de 72 horas desde que tenga conocimiento de la brecha, conforme al Art. 33 RGPD.
  • Proporcionar al Responsable la información necesaria para que este pueda notificar a la AEPD si la brecha supone un riesgo para los derechos y libertades de los interesados.
  • Documentar todas las violaciones de seguridad, incluyendo las que no requieran notificación a la autoridad de control.
  • Colaborar activamente con el Responsable en la investigación de la brecha y en la adopción de medidas correctoras.
La notificación de una brecha de datos por el Encargado no implica reconocimiento de responsabilidad. La obligación de notificar a la AEPD (www.aepd.es) dentro de las 72 horas corresponde al Responsable.
10

Derechos de auditoría e inspección

El Responsable tiene derecho a auditar el cumplimiento del presente DPA por parte del Encargado, conforme al Art. 28.3.h) RGPD. A tal efecto:

  • El Encargado pondrá a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones del presente DPA, previa solicitud razonada y por escrito a info@factulista.com.
  • El Encargado permitirá y contribuirá a la realización de auditorías o inspecciones, realizadas por el Responsable o por un auditor externo designado por este, con un preaviso mínimo de 30 días y durante el horario habitual de negocio.
  • Los costes derivados de la auditoría correrán a cargo del Responsable, salvo que la auditoría revele un incumplimiento imputable al Encargado.
  • El auditor designado deberá suscribir un acuerdo de confidencialidad antes de acceder a cualquier información del Encargado.
11

Transferencias internacionales de datos

Con carácter general, los datos personales tratados por Factulista se alojan en servidores ubicados en la Unión Europea (AWS Irlanda), por lo que no se producen transferencias internacionales de datos en el sentido del Capítulo V RGPD.

En los casos en que algún subencargado (ver cláusula 6) implique una transferencia fuera del EEE, el Encargado garantiza que dicha transferencia se ampara en alguna de las siguientes salvaguardias:

  • Decisión de adecuación de la Comisión Europea (Art. 45 RGPD).
  • Cláusulas Contractuales Tipo adoptadas por la Comisión Europea (Art. 46.2.c) RGPD).
  • Marco de Privacidad de Datos UE-EE.UU. (Data Privacy Framework), cuando aplique.
12

Fin del tratamiento y devolución de datos

A la finalización de la relación contractual entre las partes, por cualquier causa, el Encargado se compromete a:

  • Mantener los datos accesibles para su exportación por el Responsable durante un periodo de 30 días desde la fecha de resolución del contrato.
  • A elección del Responsable, devolver todos los datos personales al Responsable en formato estándar (CSV, PDF) o destruirlos de forma segura una vez transcurrido dicho plazo.
  • Destruir o anonimizar cualquier copia existente, salvo que la normativa aplicable obligue a su conservación durante un plazo determinado.
  • Certificar por escrito, a solicitud del Responsable, la destrucción efectiva de los datos.
Para solicitar la exportación o la certificación de destrucción de datos, el Responsable deberá dirigirse a info@factulista.com antes de que transcurran los 30 días desde la baja.
13

Legislación aplicable y resolución de conflictos

El presente DPA se rige por la legislación española y europea de protección de datos, en particular:

  • Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (RGPD).
  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
  • Las directrices y resoluciones de la Agencia Española de Protección de Datos (AEPD) y del Comité Europeo de Protección de Datos (CEPD).

Cualquier controversia derivada del presente DPA se someterá a la jurisdicción de los Juzgados y Tribunales de Las Palmas de Gran Canaria. No obstante, el Responsable tiene siempre el derecho de presentar una reclamación ante la AEPD (www.aepd.es).

Contacto DPO / Protección de datos: Para cualquier cuestión relativa al presente DPA, el Responsable puede dirigirse al Encargado en info@factulista.com indicando en el asunto «DPA — Protección de datos».