Acuerdo de Encargo de Tratamiento (DPA)

Este Acuerdo de Encargo de Tratamiento ("DPA") complementa los Términos y Condiciones del servicio Fiscora y se celebra entre el Cliente (Responsable del tratamiento) y Devura Digital SL (Encargado del tratamiento), conforme al artículo 28 del Reglamento (UE) 2016/679 (RGPD).

Responsable del tratamiento: El Cliente que utiliza Fiscora para gestionar datos personales en el contexto de su actividad empresarial o profesional.

Encargado del tratamiento: Devura Digital SL, NIF B24830317, con domicilio en av. Ferrocarril, 83, 12560 Benicassim, Castelló, ES.

El Encargado trata datos personales por cuenta del Responsable para alojar, operar, mantener y dar soporte al servicio Fiscora, según las funcionalidades contratadas o activadas por el Responsable.

El tratamiento puede incluir, según los módulos activados, facturación, presupuestos, recurrentes, gastos, almacenamiento de documentos, nómina y empleados, conciliación bancaria, cobros domiciliados, exportaciones, trazabilidad, soporte técnico y automatizaciones asociadas al servicio.

Datos identificativos y de contacto, datos fiscales y contables, datos de facturación y cobro, datos bancarios, datos laborales y de nómina, adjuntos documentales, registros de auditoría, identificadores técnicos y cualquier otra información que el Responsable incorpore al servicio.

Personal del Responsable, clientes, proveedores, empleados, colaboradores, destinatarios de facturas, pagadores y otras personas cuyos datos sean incorporados por el Responsable al servicio.

Este DPA permanece vigente durante la prestación del servicio. Tras la finalización del contrato, el Encargado suprimirá o devolverá los datos personales según las instrucciones del Responsable y los plazos técnicos razonables de cierre, salvo que la normativa aplicable exija su conservación o bloqueo durante un periodo superior.

1. Tratar los datos personales únicamente siguiendo las instrucciones documentadas del Responsable.
2. Garantizar que las personas autorizadas para tratar datos se hayan comprometido a respetar la confidencialidad.
3. Adoptar medidas técnicas y organizativas apropiadas para garantizar la seguridad del tratamiento conforme al artículo 32 RGPD.
4. No recurrir a otro encargado sin autorización previa general o específica del Responsable y exigirle obligaciones equivalentes de protección de datos.
5. Asistir al Responsable en el cumplimiento de las solicitudes de ejercicio de derechos de los interesados (acceso, rectificación, supresión, portabilidad, oposición).
6. Asistir al Responsable en las obligaciones relativas a la seguridad del tratamiento, notificación de brechas de seguridad, evaluaciones de impacto y consultas previas.
7. A elección del Responsable, suprimir o devolver todos los datos personales una vez finalizada la prestación del servicio.
8. Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones del artículo 28 del RGPD, y permitir y contribuir a las auditorías.

El Encargado seguirá siendo responsable frente al Responsable por los actos de sus subencargados y limitará el acceso a los datos al personal y proveedores que necesiten conocerlos para prestar el servicio.

El Responsable concede una autorización general para que el Encargado utilice subencargados y proveedores técnicos necesarios para prestar Fiscora. A fecha de esta versión, pueden incluir, según los módulos activados:

• MongoDB Atlas — base de datos y copias gestionadas.
• Cloudflare R2 — almacenamiento de ficheros, exportaciones y adjuntos.
• Hosting de aplicación en la UE, como Hetzner o Scaleway, según la infraestructura activa.
• Postmark o proveedores SMTP equivalentes — notificaciones y entrega transaccional de correo.
• Afterbanks y/o GoCardless Bank Data — conectividad bancaria y sincronización de movimientos, si el Responsable activa estas funciones.
• OpenAI u otros proveedores de OCR/IA documental — extracción de datos de gastos o justificantes, solo si el Responsable activa dichas funciones.

Cuando incorporemos o sustituyamos subencargados de forma material, actualizaremos esta relación o comunicaremos el cambio por medios razonables. Si el Responsable formula una objeción motivada y no puede alcanzarse una alternativa razonable, podrá dejar de usar la funcionalidad afectada o resolver el servicio conforme al contrato. Los pagos de suscripción del propio Cliente con Stripe y los envíos a autoridades públicas pueden quedar sujetos a sus propios términos como destinatarios o responsables independientes, según corresponda.

El Encargado notificará al Responsable cualquier brecha de seguridad de datos personales sin dilación indebida y, en todo caso, en un plazo máximo de 48 horas desde que tenga conocimiento de la misma, proporcionando toda la información disponible sobre la naturaleza, alcance y medidas adoptadas.

A solicitud razonable del Responsable, y con preaviso adecuado, el Encargado facilitará información sobre las medidas aplicadas y colaborará en auditorías o revisiones proporcionadas al riesgo, siempre que no comprometan la seguridad, la confidencialidad de terceros ni supongan un abuso del derecho de auditoría.

El Responsable sigue siendo responsable de la licitud de los datos y de las instrucciones que remite al Encargado. En particular, el Responsable garantiza que:

• Cuenta con una base jurídica válida para comunicar datos personales al Encargado y utilizar los módulos contratados.
• Ha facilitado a los interesados la información de protección de datos que resulte exigible en su relación con ellos.
• No solicitará tratamientos ilícitos ni cargará al servicio categorías de datos innecesarias para la finalidad perseguida.

El Encargado prioriza alojamiento y proveedores dentro del EEE, pero algunos subencargados o funcionalidades opcionales pueden implicar transferencias o accesos desde terceros países. Cuando esto ocurra, el Encargado aplicará el mecanismo de transferencia adecuado conforme al Capítulo V del RGPD, incluidas decisiones de adecuación, cláusulas contractuales tipo y medidas complementarias cuando proceda.

Este DPA se rige por la legislación española y el RGPD. Para cualquier controversia, las partes se someten a los Juzgados y Tribunales de Castellón de la Plana.