Contrato de Encargado del Tratamiento (DPA)

Descargar PDF

Conforme al artículo 28 del Reglamento General de Protección de Datos (RGPD) — Última actualización: 13 de abril de 2026

REUNIDOS

De una parte, el RESPONSABLE DEL TRATAMIENTO (en adelante, "el Cliente"), persona física o jurídica que contrata los servicios de HaciendaFacil, cuyos datos de identificación constan en su cuenta de usuario.

De otra parte, el ENCARGADO DEL TRATAMIENTO (en adelante, "HaciendaFacil"), HaciendaFacil S.L. (en constitución), con domicilio social y NIF pendientes de registro mercantil, en calidad de prestador del servicio de facturación electrónica accesible en haciendafacil.com.

Ambas partes se reconocen mutuamente la capacidad legal necesaria para suscribir el presente contrato y, a tal efecto,

EXPONEN

Que el Cliente ha contratado los servicios de facturación electrónica de HaciendaFacil, lo que implica el acceso y tratamiento de datos personales por parte de HaciendaFacil en calidad de encargado del tratamiento, siendo necesario formalizar el presente contrato conforme al artículo 28 del RGPD.

CLÁUSULAS

1. Objeto del encargo

HaciendaFacil tratará los datos personales por cuenta del Cliente exclusivamente para la prestación de los siguientes servicios:

  • Generación, almacenamiento y gestión de facturas electrónicas.
  • Firma electrónica (XAdES) y envío de facturas a la AEAT vía VeriFactu.
  • Generación de documentos PDF con datos del Cliente y sus clientes/proveedores.
  • Envío de comunicaciones transaccionales por email (facturas, recordatorios de pago).
  • Generación de informes fiscales (IVA, IRPF).
  • Importación automatizada de facturas de proveedores cloud (AWS, Azure, GCP, OVH).

2. Datos tratados

Las categorías de datos personales objeto del tratamiento son:

  • Datos identificativos: NIF/CIF, nombre/razón social, dirección, email, teléfono del Cliente, sus clientes y proveedores.
  • Datos económicos: importes de facturas, formas de pago, datos bancarios si los hubiere.
  • Datos fiscales: régimen de IVA, retenciones IRPF, series de facturación.
  • Certificados digitales: clave privada del certificado X.509 para firma electrónica (almacenada cifrada).

Categorías de interesados: el propio Cliente, empleados del Cliente, clientes del Cliente, proveedores del Cliente.

3. Duración

El presente contrato tiene la misma duración que la relación contractual de prestación de servicios. Una vez finalizada, HaciendaFacil conservará los datos bloqueados durante el plazo legal obligatorio (4 años para documentos fiscales, conforme al Art. 29 LGT) y los eliminará definitivamente transcurrido dicho plazo.

4. Obligaciones de HaciendaFacil como encargado

HaciendaFacil se compromete a:

  • a) Tratar los datos únicamente conforme a las instrucciones del Cliente y para las finalidades descritas en este contrato. No utilizará los datos para fines propios.
  • b) Garantizar que las personas autorizadas para tratar datos personales se han comprometido a respetar la confidencialidad.
  • c) Implementar las medidas técnicas y organizativas apropiadas conforme al Art. 32 RGPD:
    • Cifrado de datos en tránsito (TLS 1.3) y en reposo (certificados cifrados con Fernet/AES-256).
    • Hash de credenciales y API keys (SHA-256).
    • Control de acceso por roles (owner, editor, viewer).
    • Rate limiting en la API pública.
    • Logging de accesos para auditoría.
    • Aislamiento de datos por tenant (empresa).
    • Backups periódicos de la base de datos.
  • d) No subcontratar ningún tratamiento sin autorización previa del Cliente. Los sub-encargados actuales autorizados son:
    • OVH SAS (Francia): alojamiento del servidor.
    • Amazon Web Services EMEA (Irlanda): SES (email), S3 (almacenamiento).
    • Cloudflare Inc. (EE.UU., con cláusulas tipo): CDN y seguridad.
    • Stripe Payments Europe Ltd. (Irlanda): procesamiento de pagos.
    • Google Ireland Ltd. (Irlanda): autenticación OAuth.
  • e) Asistir al Cliente en el cumplimiento de sus obligaciones respecto al ejercicio de derechos de los interesados (acceso, rectificación, supresión, portabilidad).
  • f) Notificar al Cliente cualquier violación de seguridad de datos personales en un plazo máximo de 72 horas desde su detección.
  • g) Suprimir o devolver los datos al Cliente al finalizar la relación contractual, salvo obligación legal de conservación.
  • h) Poner a disposición del Cliente toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el Art. 28 RGPD.

5. Obligaciones del Cliente como responsable

El Cliente se compromete a:

  • Garantizar que tiene base jurídica para tratar los datos que introduce en HaciendaFacil.
  • Informar a sus clientes y proveedores del tratamiento de sus datos conforme al RGPD.
  • Facilitar el ejercicio de derechos de los interesados cuando estos se dirijan al Cliente.
  • Garantizar la veracidad de los datos fiscales introducidos.

6. Transferencias internacionales

HaciendaFacil podrá transferir datos a los sub-encargados indicados en la cláusula 4.d), algunos ubicados fuera del EEE. En todos los casos se cuenta con garantías adecuadas: decisiones de adecuación de la Comisión Europea o cláusulas contractuales tipo aprobadas por la Comisión.

7. Resolución

El incumplimiento por cualquiera de las partes de las obligaciones establecidas en este contrato facultará a la otra parte para resolver el contrato. En caso de resolución, se aplicará lo dispuesto en la cláusula 3 respecto a la conservación y eliminación de datos.

8. Legislación aplicable

El presente contrato se rige por el Reglamento (UE) 2016/679 (RGPD), la Ley Orgánica 3/2018 (LOPDGDD) y la legislación española aplicable. Para cualquier controversia, las partes se someten a los juzgados y tribunales de Santander, Cantabria.

Este contrato se formaliza electrónicamente al contratar un plan de pago (Autónomo o Empresa) en HaciendaFacil. La aceptación se registra junto con la fecha, hora, IP y usuario que la realiza.