Acuerdo de encargo de tratamiento

1. Partes

El cliente que utiliza GestisApp actúa como responsable del tratamiento respecto de los datos personales que introduce, sube, genera o gestiona en la plataforma por cuenta propia o de su actividad.

MULTISERVICIOS JORCARMA, S.L., CIF B19576347, actúa como encargado del tratamiento cuando presta el servicio tecnológico por cuenta del cliente, en relación con los datos alojados, procesados o conservados en GestisApp.

Cuando intervenga GESTISAL CONSULTING, S.L.P. u otra gestoría colaboradora para servicios profesionales, podrá actuar como subencargada, encargada independiente o prestadora profesional, según el servicio concreto, las instrucciones recibidas y el contrato aceptado.

2. Objeto, duración, naturaleza y finalidad

El objeto del encargo es permitir la prestación de servicios de facturación, conservación documental, carpeta documental, subida de documentos, gestión de usuarios, soporte, mantenimiento, trazabilidad, revisión documental y, en su caso, servicios de gestoría o funcionalidades SIF/VERI*FACTU.

La duración del encargo coincidirá con la relación contractual entre el cliente y GestisApp, sin perjuicio de los periodos posteriores de conservación legal, bloqueo, copia de seguridad, defensa de reclamaciones o trazabilidad técnica.

La naturaleza del tratamiento podrá incluir recogida, registro, estructuración, conservación, consulta, modificación, extracción, comunicación, descarga, bloqueo, supresión, copia de seguridad y soporte técnico.

3. Tipos de datos y categorías de interesados

Podrán tratarse las siguientes categorías de datos:

• Datos identificativos, fiscales y de contacto.
• Datos económicos, contables, mercantiles, administrativos y de facturación.
• Facturas, justificantes, contratos, modelos, documentos fiscales y documentos subidos por el cliente.
• Datos de clientes, proveedores, representantes, trabajadores, colaboradores, autorizados y terceros incluidos en documentos.
• Datos técnicos de acceso, trazabilidad, logs, evidencias de aceptación y seguridad.
• Datos asociados a certificados digitales cuando el cliente los aporte o configure.

Las categorías de interesados podrán incluir el propio cliente, sus representantes, empleados, clientes, proveedores, acreedores, deudores, colaboradores, administradores, autorizados y otros terceros incluidos en la documentación tratada.

4. Instrucciones del responsable

MULTISERVICIOS JORCARMA, S.L. tratará los datos conforme a las instrucciones documentadas del cliente, estas condiciones, el contrato de servicio, la finalidad del módulo contratado y la normativa aplicable.

Si una instrucción del cliente resultara contraria a la normativa, GestisApp podrá advertirlo y, en su caso, suspender o no ejecutar la instrucción hasta que sea aclarada o corregida.

5. Obligaciones del encargado

• Tratar los datos únicamente para prestar el servicio contratado y conforme a instrucciones documentadas.
• No utilizar los datos para finalidades propias incompatibles.
• Garantizar que las personas autorizadas para tratar datos se comprometan a la confidencialidad.
• Aplicar medidas técnicas y organizativas razonables atendiendo al riesgo del tratamiento.
• Ayudar al cliente, cuando proceda y sea posible, en el ejercicio de derechos de los interesados.
• Ayudar al cliente en el cumplimiento de obligaciones de seguridad, brechas, evaluaciones de impacto y consultas previas cuando proceda.
• Permitir la devolución, descarga, supresión o conservación bloqueada de los datos al finalizar el servicio, según corresponda.
• Poner a disposición del cliente información razonable para acreditar el cumplimiento de este encargo.

6. Obligaciones del cliente como responsable

• Utilizar GestisApp con base jurídica suficiente para los tratamientos que realice.
• No subir datos excesivos, innecesarios, ilícitos o ajenos al servicio contratado.
• Informar a sus clientes, proveedores, trabajadores y terceros cuando sea necesario.
• Atender los derechos de los interesados respecto de los datos que gestione como responsable.
• Comprobar la exactitud, legitimidad y necesidad de los documentos subidos o generados.

7. Subencargados

El cliente autoriza el uso de subencargados y proveedores técnicos necesarios para alojamiento, infraestructura, comunicaciones, correo electrónico, copias de seguridad, pasarela de pago, mantenimiento, soporte, monitorización, seguridad y desarrollo de la plataforma.

También autoriza la intervención de GESTISAL CONSULTING, S.L.P. u otra gestoría colaboradora cuando contrate servicios profesionales que requieran revisión documental, preparación de modelos, soporte fiscal o actuaciones relacionadas.

GestisApp procurará que los subencargados asuman obligaciones de confidencialidad, seguridad y tratamiento de datos compatibles con este acuerdo.

8. Medidas de seguridad

La plataforma podrá aplicar, entre otras, las siguientes medidas: control de acceso por usuario, permisos por empresa y módulo, separación lógica de datos, cifrado en tránsito mediante HTTPS, registros de actividad, copias de seguridad, restricciones de acceso administrativo, medidas contra accesos no autorizados y procedimientos de recuperación.

Las medidas podrán evolucionar según el estado de la técnica, el coste de aplicación, la naturaleza de los datos, los riesgos y el desarrollo de la plataforma.

9. Brechas de seguridad

En caso de incidente de seguridad que afecte a datos personales tratados por cuenta del cliente, GestisApp lo comunicará al cliente sin dilación indebida cuando legalmente proceda, aportando la información disponible para que este pueda cumplir sus obligaciones.

Cuando GestisApp actúe como responsable respecto de determinados tratamientos, gestionará las comunicaciones a la autoridad de control o interesados que resulten procedentes conforme a la normativa aplicable.

10. Conservación, devolución y supresión

Al finalizar el servicio, el cliente podrá solicitar la descarga o devolución de sus datos en un formato razonablemente accesible, sin perjuicio de funcionalidades concretas disponibles en la plataforma.

GestisApp podrá conservar datos bloqueados o copias durante los plazos necesarios para cumplimiento fiscal, mercantil, contable, SIF/VERI*FACTU, seguridad, copias de respaldo, trazabilidad técnica, defensa de reclamaciones o cumplimiento de obligaciones legales.

La supresión efectiva podrá no ser inmediata cuando existan copias de seguridad, obligaciones legales, registros técnicos o necesidades de conservación bloqueada.

11. Transferencias internacionales

Si para la prestación del servicio fuera necesario utilizar proveedores situados fuera del Espacio Económico Europeo, se utilizarán garantías válidas conforme a la normativa aplicable, como decisiones de adecuación, cláusulas contractuales tipo u otros mecanismos legalmente admitidos.

12. Certificados digitales y credenciales

Cuando el cliente aporte certificados digitales, claves, apoderamientos o credenciales, será responsable de contar con legitimación suficiente para su uso, de mantenerlos vigentes y de comunicar cualquier revocación, caducidad o incidencia.

GestisApp tratará dichos elementos únicamente en la medida necesaria para prestar el servicio contratado y mantener trazabilidad, seguridad y cumplimiento normativo.

13. Auditoría y colaboración

GestisApp podrá facilitar al cliente información razonable sobre las medidas aplicadas y el cumplimiento del encargo. Las auditorías o revisiones específicas deberán acordarse previamente, respetando la seguridad, confidencialidad y derechos de otros clientes.