Suprescue
Empezar gratis
← Suprescue

Acuerdo de Encargo del Tratamiento (DPA)

Última actualización: 18 de mayo de 2026

El presente Acuerdo de Encargo del Tratamiento (en adelante, “DPA”) se celebra entre Suprescue SL, sociedad española (“Encargado” o “Suprescue”), y el cliente que contrata el Servicio (“Responsable” o “Cliente”), conjuntamente las “Partes”.

Este DPA forma parte integrante de los Términos de Servicio y regula el tratamiento de datos personales que Suprescue realiza por cuenta del Cliente al prestar el Servicio, de conformidad con el artículo 28 del RGPD.

1. Definiciones

Los términos “datos personales”, “tratamiento”, “responsable del tratamiento”, “encargado del tratamiento”, “interesado”, “violación de la seguridad de los datos personales” y “subencargado” tendrán el significado que les atribuye el RGPD.

2. Objeto, naturaleza y finalidad del tratamiento

  • Objeto: tratamiento de datos personales por cuenta del Cliente para prestar el Servicio Suprescue.
  • Naturaleza: recepción de eventos de Stripe, recuperación de datos de facturas y clientes finales, envío de mensajes por WhatsApp/SMS/email y monitorización de la recuperación de cobros.
  • Finalidad: recuperación de cobros fallidos en suscripciones del Cliente.
  • Duración: mientras el contrato principal esté vigente y el periodo adicional previsto en estos Términos.

3. Categorías de interesados y datos tratados

El Encargado tratará por cuenta del Responsable las siguientes categorías:

  • Interesados: clientes finales del Responsable con suscripciones activas o canceladas en Stripe.
  • Datos identificativos: nombre, correo electrónico, número de teléfono.
  • Datos de facturación: identificador de factura, importe, divisa, estado del cobro, motivo de decline si está disponible, fechas relevantes.
  • Datos técnicos: idioma, zona horaria, identificadores internos.

El Encargado no tratará categorías especiales de datos (art. 9 RGPD) ni datos relativos a infracciones penales (art. 10 RGPD).

4. Obligaciones del Encargado

  1. Tratar los datos únicamente siguiendo las instrucciones documentadas del Responsable, incluidas las recogidas en el contrato. Si el Encargado considera que una instrucción infringe la normativa, lo notificará al Responsable.
  2. Garantizar que las personas autorizadas para tratar los datos se han comprometido a respetar la confidencialidad o están sujetas a un deber legal de confidencialidad.
  3. Adoptar las medidas técnicas y organizativas apropiadas conforme al art. 32 RGPD, descritas en el Anexo II.
  4. Asistir al Responsable, en la medida de lo posible, para que pueda atender las solicitudes de ejercicio de derechos de los interesados.
  5. Asistir al Responsable en el cumplimiento de las obligaciones de los arts. 32 a 36 RGPD (seguridad, notificación de brechas, evaluaciones de impacto, consultas previas).
  6. A elección del Responsable, suprimir o devolver los datos personales una vez finalice la prestación, salvo conservación obligatoria por ley.
  7. Poner a disposición del Responsable la información necesaria para demostrar el cumplimiento de las obligaciones del art. 28 RGPD y permitir auditorías razonables, con preaviso mínimo de 30 días y bajo confidencialidad. Suprescue podrá satisfacer este deber facilitando certificaciones y/o informes de auditoría de terceros (p. ej. SOC 2, ISO 27001) cuando estén disponibles.

5. Subencargados

El Responsable autoriza con carácter general al Encargado a recurrir a los subencargados listados en el Anexo I. Suprescue informará al Responsable de cualquier cambio, sustitución o incorporación de subencargados con un preaviso mínimo de 30 días, durante los cuales el Responsable podrá oponerse por motivos razonables; en tal caso, las Partes negociarán de buena fe y, de no alcanzar acuerdo, el Responsable podrá resolver el contrato sin penalización.

Suprescue celebrará con cada subencargado un contrato que imponga obligaciones de protección de datos sustancialmente equivalentes a las del presente DPA.

6. Transferencias internacionales

Cuando el Encargado o un subencargado traten datos fuera del Espacio Económico Europeo, la transferencia se realizará amparada en (i) decisión de adecuación, (ii) Cláusulas Contractuales Tipo aprobadas por la Comisión Europea o (iii) cualquier otra garantía adecuada conforme a los arts. 46 y siguientes del RGPD, junto con las medidas técnicas complementarias necesarias.

7. Notificación de violaciones de seguridad

El Encargado notificará al Responsable sin dilación indebida, y en cualquier caso en un plazo máximo de 48 horas desde que tenga conocimiento, cualquier violación de la seguridad de los datos personales que afecte a los datos tratados por cuenta del Responsable, facilitando la información razonablemente disponible para que el Responsable cumpla sus obligaciones de notificación.

8. Responsabilidad

La responsabilidad del Encargado bajo este DPA se rige por el régimen de limitación establecido en los Términos de Servicio. Lo anterior no limitará los derechos de los interesados ni las responsabilidades expresamente atribuidas al Encargado por el RGPD.

9. Terminación

A la terminación del Servicio, y a elección del Responsable, el Encargado devolverá o suprimirá todos los datos personales tratados por cuenta del Responsable, así como cualquier copia, en un plazo máximo de 30 días, salvo obligación legal de conservación.

10. Disposiciones finales

Este DPA prevalece sobre cualquier disposición contraria en materia de protección de datos contenida en los Términos. Se rige por la ley española y se somete a los mismos fueros que el contrato principal.

Anexo I — Subencargados

ProveedorFunciónUbicación
Stripe Payments Europe, Ltd.Eventos de facturación y portal de actualización de tarjetaIrlanda
Supabase Inc.Base de datos y autenticaciónUE / EE.UU. (SCCs)
Vercel Inc.Alojamiento y funciones serverlessUE / EE.UU. (SCCs)
Twilio Inc.Envío de SMSEE.UU. (SCCs)
Meta Platforms Ireland Ltd.WhatsApp Business PlatformIrlanda

Anexo II — Medidas técnicas y organizativas

  • Cifrado: TLS 1.2+ en tránsito; cifrado en reposo en los proveedores de base de datos.
  • Control de accesos: autenticación con contraseña y MFA para personal autorizado; principio de mínimo privilegio; revisión periódica.
  • Segregación: datos por cliente lógicamente separados a nivel de aplicación.
  • Trazabilidad: registros de auditoría de accesos y operaciones sensibles.
  • Continuidad: copias de seguridad cifradas y pruebas periódicas de restauración.
  • Gestión de incidentes: procedimiento documentado de detección, respuesta y notificación.
  • Personal: formación periódica en seguridad y protección de datos; deber de confidencialidad.
  • Subencargados: due diligence y contrato con cláusulas equivalentes.

Firma

La aceptación de los Términos de Servicio por parte del Cliente y el uso del Servicio implican la aceptación del presente DPA por ambas Partes.