Contrato de Encargado de Tratamiento

Versión v1.0 — Vigente desde el 22 de marzo de 2026

1. Partes

El presente contrato se celebra entre:

• Responsable del Tratamiento (Cliente): La persona física o jurídica que contrata los servicios de ProFactura y que determina los fines y medios del tratamiento de datos personales.
• Encargado del Tratamiento (ProFactura): La Gondola Rossa Group S.L., con CIF B22511869 y domicilio en Calle Enric Valor 1/A, 46920 Mislata, Valencia, España, que trata los datos personales por cuenta del Responsable.

2. Objeto del contrato

El presente contrato tiene por objeto regular las condiciones en las que ProFactura, como Encargado del Tratamiento, tratará los datos personales por cuenta del Cliente (Responsable), en el marco de la prestación del servicio de software de gestión contable en modalidad SaaS (Software as a Service).

3. Finalidad del tratamiento

ProFactura tratará los datos personales exclusivamente para las siguientes finalidades:

• Prestación del servicio de software contable contratado por el Cliente.
• Gestión de facturación, contabilidad y obligaciones fiscales del Cliente.
• Almacenamiento seguro de los datos introducidos por el Cliente en la plataforma.
• Soporte técnico y mantenimiento del servicio.
• Generación de copias de seguridad automáticas.

4. Tipos de datos tratados

En función del uso que el Cliente haga del software, ProFactura podrá tratar las siguientes categorías de datos personales:

• Datos identificativos: Nombre, apellidos, NIF/CIF, dirección, teléfono, email de clientes, proveedores y empleados del Cliente.
• Datos fiscales: Datos de facturación, bases imponibles, tipos de IVA e IRPF, declaraciones fiscales.
• Datos económicos: Importes de facturas, pagos, cobros, saldos y movimientos contables.
• Datos profesionales: Cargo, empresa, actividad profesional de los contactos del Cliente.

5. Obligaciones de ProFactura como Encargado

ProFactura se compromete a:

• Tratar los datos solo según instrucciones: ProFactura tratará los datos personales únicamente siguiendo las instrucciones documentadas del Responsable, incluidas las relativas a transferencias de datos a terceros países.
• Confidencialidad: Garantizar que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación legal de confidencialidad.
• Medidas de seguridad: Implementar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, incluyendo:
  • Cifrado SSL/TLS en todas las comunicaciones.
  • Cifrado de datos sensibles en reposo.
  • Control de acceso basado en roles.
  • Almacenamiento de contraseñas con hash bcrypt.
  • Copias de seguridad automáticas diarias.
  • Separación lógica de datos entre clientes.
• No ceder datos a terceros: No comunicar los datos personales a terceros, salvo en los casos expresamente autorizados por el Responsable o exigidos por ley.
• Asistencia en derechos RGPD: Asistir al Responsable, teniendo en cuenta la naturaleza del tratamiento, en la atención de solicitudes de ejercicio de derechos de los interesados (acceso, rectificación, supresión, portabilidad, limitación y oposición).
• Notificación de brechas de seguridad: Notificar al Responsable sin dilación indebida, y en cualquier caso en un plazo máximo de 72 horas, cualquier violación de la seguridad de los datos personales de la que tenga conocimiento.
• Eliminación o devolución de datos: Una vez finalizada la prestación del servicio, eliminar o devolver todos los datos personales al Responsable, según su elección, y suprimir las copias existentes salvo que la legislación aplicable exija su conservación.
• Información y auditorías: Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el artículo 28 del RGPD.

6. Subencargados del tratamiento

El Responsable autoriza a ProFactura a recurrir a otros encargados del tratamiento (subencargados) para la prestación del servicio, siempre que:

• ProFactura informe al Responsable de cualquier cambio previsto en la incorporación o sustitución de subencargados, dando al Responsable la oportunidad de oponerse.
• El subencargado esté sujeto a las mismas obligaciones de protección de datos que las establecidas en el presente contrato.
• ProFactura sea responsable ante el Responsable del cumplimiento de obligaciones por parte del subencargado.

Los subencargados actuales incluyen:

• Proveedor de hosting: Aruba S.p.A. — Alojamiento de servidores dentro de la UE.
• Procesadores de pago: Stripe, Inc. / PayPal (Europe) S.à r.l. — Procesamiento de pagos (no acceden a datos contables).

7. Transferencias internacionales

ProFactura no realizará transferencias de datos personales fuera del Espacio Económico Europeo (EEE) salvo autorización expresa del Responsable y garantizando las salvaguardas adecuadas conforme al RGPD.

8. Duración

El presente contrato tiene la misma duración que la relación contractual entre el Responsable y ProFactura. A la finalización del servicio, se aplicará lo dispuesto en la cláusula 5 sobre eliminación o devolución de datos.

9. Legislación aplicable

El presente contrato se rige por:

• Reglamento (UE) 2016/679 (RGPD)
• Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD)
• Legislación española aplicable

10. Contacto

Para cualquier consulta relacionada con este contrato o el tratamiento de datos personales:

• Email: info@profactura.es
• Dirección: Calle Enric Valor 1/A, 46920 Mislata, Valencia, España

Versión v1.0 — 22 de marzo de 2026