Acuerdo de Encargo del Tratamiento (DPA) para Zafirplan

1 · Partes y objeto

Este Acuerdo de Encargo del Tratamiento (en adelante, el «Acuerdo» o «DPA») forma parte de las
Condiciones del Servicio de Zafirplan y regula el tratamiento de datos
personales que Eugenio Nieto Vilardell, que opera comercialmente como Fidestec (en
adelante, «el Encargado»), realiza por cuenta del cliente (en adelante, «el Responsable») al
prestar el servicio SaaS Zafirplan.

Respecto de los datos personales que el Responsable y sus usuarios introducen, cargan, almacenan
o gestionan dentro de su Tenant (en adelante, los «Datos»), el Responsable actúa como
responsable del tratamiento y el Encargado actúa como encargado del tratamiento
, en el sentido
del art. 28 del Reglamento (UE) 2016/679 (RGPD) y de la Ley Orgánica 3/2018 (LOPDGDD).

El Encargado tratará los Datos únicamente para prestar, mantener, asegurar y dar soporte al
servicio Zafirplan, conforme a las instrucciones documentadas del Responsable, siendo estas
Condiciones y la configuración que el Responsable realiza en la aplicación su instrucción inicial.

2 · Descripción del tratamiento

El objeto, duración, naturaleza, finalidad, tipos de datos y categorías de interesados se detallan
en el Anexo I. En síntesis:

  • Duración: la vigencia de la suscripción, más el periodo de conservación y borrado posterior
    previsto en las Condiciones (90 días).
  • Naturaleza y finalidad: alojamiento, almacenamiento de adjuntos, backups, auditoría técnica
    y logs, mantenimiento, soporte, migraciones/importaciones solicitadas, y exportación o borrado
    de datos a solicitud del Responsable.

3 · Obligaciones del Encargado

Conforme al art. 28.3 del RGPD, el Encargado se compromete a:

  1. Tratar los Datos solo siguiendo instrucciones documentadas del Responsable, incluidas las
    relativas a transferencias internacionales, salvo obligación legal, en cuyo caso informará al
    Responsable con carácter previo salvo prohibición legal.
  2. Garantizar que las personas autorizadas para tratar los Datos se han comprometido a respetar la
    confidencialidad o están sujetas a una obligación de confidencialidad.
  3. Aplicar las medidas técnicas y organizativas apropiadas conforme al art. 32 del RGPD,
    descritas en el Anexo II.
  4. Respetar el régimen de subencargados de la §5 y del Anexo III.
  5. Asistir al Responsable, en la medida de lo posible, para atender las solicitudes de ejercicio
    de derechos de los interesados (acceso, rectificación, supresión, limitación, portabilidad y
    oposición), mediante las funcionalidades de exportación, edición y borrado del Servicio.
  6. Asistir al Responsable en el cumplimiento de sus obligaciones de seguridad, notificación de
    violaciones de seguridad y, en su caso, evaluaciones de impacto y consultas previas.
  7. A elección del Responsable, suprimir o devolver los Datos al finalizar la prestación,
    conforme a la §7.
  8. Poner a disposición del Responsable la información necesaria para demostrar el cumplimiento
    de estas obligaciones y permitir y contribuir a auditorías, incluidas inspecciones, en
    condiciones razonables (§6).
  9. Informar al Responsable sin dilación indebida si, a su juicio, una instrucción infringe la
    normativa de protección de datos.

4 · Obligaciones del Responsable

El Responsable se compromete a:

  1. Tratar los Datos y utilizar el Servicio conforme a la normativa de protección de datos.
  2. Disponer de base jurídica suficiente para los Datos que incorpore al Servicio y para su
    tratamiento por el Encargado.
  3. Informar a sus trabajadores, usuarios y terceros cuyos datos incorpore, conforme a la
    normativa laboral y de protección de datos aplicable.
  4. Configurar adecuadamente los usuarios, roles y permisos de su Tenant y custodiar las
    credenciales.
  5. Impartir instrucciones lícitas y documentadas al Encargado.

5 · Subencargados

El Responsable autoriza de forma general al Encargado a recurrir a los subencargados
relacionados en el Anexo III para la prestación del Servicio. El Encargado impondrá a cada
subencargado, por contrato, obligaciones de protección de datos equivalentes a las de este
Acuerdo.

El Encargado informará al Responsable de cualquier cambio previsto en la incorporación o
sustitución de subencargados, dando al Responsable la posibilidad de oponerse por motivos
razonables relativos a la protección de datos. La lista actualizada estará disponible en
/subencargados/ o mediante comunicación al Responsable.

6 · Auditoría

El Encargado pondrá a disposición del Responsable la información razonable para acreditar el
cumplimiento de este Acuerdo. El Responsable podrá auditar el cumplimiento, por sí o mediante un
tercero independiente sujeto a confidencialidad, con preaviso razonable, en horario laboral y
sin comprometer la seguridad ni la confidencialidad de otros clientes del Encargado.

7 · Duración, supresión y devolución de los Datos

Este Acuerdo estará vigente mientras el Encargado trate Datos por cuenta del Responsable.

Al finalizar la prestación (baja, cancelación o resolución), y transcurrido el plazo de
conservación de 90 días
previsto en las Condiciones, el Encargado suprimirá los Datos del
Tenant, salvo que el Responsable solicite su devolución mediante exportación durante dicho plazo, o
que exista obligación legal de conservación. Las copias de seguridad que aún contengan Datos se
purgan al vencer su retención técnica (al menos 30 días), momento tras el cual dejan de ser
recuperables.

8 · Transferencias internacionales

Los Datos del Tenant se alojan en la Unión Europea (Alemania) a través de Hetzner Online GmbH.
El Encargado no realiza transferencias de los Datos fuera del Espacio Económico Europeo para la
prestación del Servicio. Si en el futuro fuera necesario recurrir a un subencargado fuera del EEE,
se aplicarían las garantías adecuadas previstas en el RGPD (decisión de adecuación o cláusulas
contractuales tipo) y se informaría al Responsable conforme a la §5.

9 · Violaciones de la seguridad (brechas)

El Encargado notificará al Responsable sin dilación indebida desde que tenga conocimiento de
una violación de la seguridad de los Datos, aportando la información razonablemente disponible para
que el Responsable pueda cumplir, en su caso, sus obligaciones de notificación a la autoridad de
control y a los interesados. La gestión de la notificación a la AEPD y a los interesados corresponde
al Responsable como responsable del tratamiento.

10 · Responsabilidad

La responsabilidad de las partes en materia de protección de datos se regirá por el art. 82 del
RGPD y por los límites establecidos en las Condiciones del Servicio en la
medida en que resulten compatibles con la normativa imperativa. (A validar por el abogado.)


Anexo I · Descripción del tratamiento

  • Objeto: prestación del servicio SaaS Zafirplan de gestión del mantenimiento industrial.
  • Duración: vigencia de la suscripción + 90 días de conservación posterior.
  • Naturaleza y finalidad: alojamiento, almacenamiento de adjuntos, backups, auditoría técnica y
    logs, mantenimiento, soporte, migraciones/importaciones y exportación/borrado a solicitud.
  • Tipos de datos personales:
    • Datos de contacto e identificación de trabajadores, técnicos, proveedores y contactos
      profesionales (nombre, domicilio, email, teléfono, cargo).
    • Usuarios internos, roles y permisos.
    • Registros de trabajo, órdenes, eventos, comentarios e historial.
    • Documentos, fotos y adjuntos que puedan contener datos personales o imágenes de personas.
  • Categorías de interesados: personal del Responsable, usuarios del Servicio, proveedores,
    contactos profesionales y técnicos internos o externos del Responsable.
  • Categorías especiales de datos: no previstas con carácter general; el Responsable se
    compromete a no incorporar datos de categorías especiales salvo que cuente con base jurídica y lo
    gestione bajo su responsabilidad.

Anexo II · Medidas técnicas y organizativas de seguridad

  • Aislamiento por tenant: cada cliente opera en un entorno lógico aislado, con base de datos
    propia por tenant.
  • Control de acceso: autenticación de usuarios y control por roles y permisos; principio de
    mínimo acceso para el personal de soporte del Encargado.
  • Segregación de archivos: los adjuntos se sirven mediante vistas protegidas que verifican
    tenant y permisos.
  • Cifrado en tránsito: comunicaciones mediante HTTPS.
  • Copias de seguridad: diarias, con exportación externa cifrada a centro de datos en
    Alemania, verificación de integridad y retención de al menos 30 días.
  • Trazabilidad: logs y auditoría técnica de operaciones.
  • Confidencialidad: personal sujeto a deber de confidencialidad.

(Estas medidas se describen también, en versión pública, en la Política de Seguridad.)

Anexo III · Subencargados autorizados

SubencargadoActividadUbicaciónDatos que trata
Hetzner Online GmbHAlojamiento cloud, bases de datos, archivos y backups del SaaSAlemania (EEE)Datos operativos del Tenant, incluidos adjuntos y backups
Raiola Networks SLCorreo transaccional/operativo del ServicioEspaña (EEE)Datos de contacto incluidos en notificaciones operativas a usuarios del Tenant

Nota (pendiente de decisión jurídica): Stripe (pagos), MailerLite (email marketing) y
Google/YouTube (contenido web) tratan datos en los que Fidestec actúa como responsable
(facturación del cliente, comunicaciones comerciales, cookies web), no como encargado de los Datos
del Tenant. Por ello se reflejan en la Política de Privacidad y no en este Anexo.
Confirmar con el abogado antes de publicar.


Versión 1.0 · Entrada en vigor: 4 de julio de 2026