Contrato de encargo del tratamiento (art. 28 RGPD)
La versión española se ofrece únicamente con fines informativos. Es vinculante el texto alemán.
Última actualización: 5 de mayo de 2026. El presente contrato de encargo del tratamiento de datos («DPA») concreta las obligaciones derivadas del art. 28 RGPD. Se celebra entre el cliente profesional («responsable del tratamiento») y Studio Apps Sp. z o.o. («encargado del tratamiento») al celebrar el contrato relativo al alojamiento de un sitio web de reservas o servicios equiparables, siempre que en su marco se traten datos personales de terceros.
§ 1 Objeto y duración
(1) El objeto del DPA es el tratamiento de datos personales que el responsable confía al encargado en el marco de los servicios de alojamiento acordados — en particular las solicitudes de reserva que se reciben a través del formulario del sitio web del cliente.
(2) El DPA tiene la duración del contrato principal. Finaliza automáticamente con la terminación de los servicios de alojamiento.
§ 2 Naturaleza y finalidad del tratamiento
Puesta a disposición y operación del sitio web de reservas, recepción y conservación de las solicitudes de reserva, envío de correos de confirmación y de notificación al responsable y a los usuarios finales, supervisión de la seguridad (defensa frente a spam/bots).
§ 3 Categorías de datos e interesados
Categorías de datos personales: nombre y apellidos, dirección de correo electrónico, número de teléfono (si se indica), fecha/periodo de la reserva deseada, número de personas, mensaje, metadatos técnicos (dirección IP, agente de usuario, marca temporal).
Categorías de interesados: usuarios finales (huéspedes/personas interesadas) del sitio web de reservas del responsable.
§ 4 Obligaciones del encargado del tratamiento
(1) Tratamiento exclusivamente conforme a las instrucciones documentadas del responsable.
(2) Confidencialidad: las personas autorizadas para el tratamiento están obligadas a mantener la confidencialidad, salvo que ya estén sujetas a una obligación legal de secreto adecuada.
(3) Medidas técnicas y organizativas adecuadas (MTO) conforme al art. 32 RGPD — véase el anexo 1.
(4) Asistencia al responsable en el ejercicio de los derechos de los interesados (arts. 12-22 RGPD), así como en las evaluaciones de impacto relativas a la protección de datos (arts. 35 y ss. RGPD).
(5) Notificación sin dilación indebida de las violaciones de la seguridad de los datos al responsable, a más tardar en un plazo de 48 horas desde su conocimiento (para permitir al responsable cumplir el plazo de 72 horas del art. 33 RGPD).
(6) A elección del responsable, supresión o devolución de todos los datos personales una vez finalizada la prestación de los servicios de tratamiento, salvo que exista una obligación de conservación más prolongada.
(7) Puesta a disposición de toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el art. 28 RGPD.
§ 5 Subencargados del tratamiento
(1) El responsable consiente el recurso a los subencargados indicados a continuación en el anexo 2 (autorización general conforme al art. 28, apdo. 2, frase primera RGPD).
(2) En caso de cambios previstos relativos a la incorporación o sustitución de subencargados, se informará previamente al responsable con una antelación mínima de 30 días (por correo electrónico a la dirección indicada en el contrato principal). El responsable puede oponerse al cambio dentro de los 14 días siguientes a la recepción de la comunicación por motivos legítimos. En caso de oposición legítima, las partes tienen derecho a resolver el contrato con un preaviso razonable.
(3) El encargado celebra con cada subencargado un acuerdo con el mismo nivel de protección de datos que el presente DPA.
§ 6 Transferencias internacionales
Las transferencias a terceros países (en particular EE. UU.) se realizan exclusivamente sobre la base de las cláusulas contractuales tipo de la UE conforme a la Decisión de Ejecución 2021/914 (módulo 3 — de encargado a subencargado) y de medidas técnicas y organizativas complementarias, así como —cuando sea aplicable— de la Decisión de adecuación 2023/1795 (Marco de Privacidad de Datos UE-EE. UU.).
§ 7 Derechos de verificación
(1) El encargado acredita periódicamente el cumplimiento del presente DPA mediante certificaciones actualizadas (p. ej. ISO 27001 de los subencargados) y descripciones escritas de las MTO, que se ponen a disposición del responsable previa solicitud.
(2) Las verificaciones in situ se admiten previo aviso con una antelación razonable (mínimo 30 días) y durante el horario laboral habitual. No deben perjudicar de forma desproporcionada la actividad empresarial corriente. Por cada verificación, el encargado factura al responsable un importe a tanto alzado en concepto de costes; quedan excluidas las verificaciones motivadas por indicios concretos de violaciones de la seguridad de los datos.
§ 8 Responsabilidad
Se aplican las disposiciones sobre responsabilidad del contrato principal (§ 15 CGC). En la relación externa, las partes responden frente a los interesados conforme al art. 82 RGPD.
§ 9 Disposiciones finales
(1) En caso de contradicciones entre el presente DPA y el contrato principal, las disposiciones de este DPA prevalecen en materia de protección de datos.
(2) Si alguna de las disposiciones del presente DPA fuera ineficaz, la validez de las restantes disposiciones no se verá afectada.
Anexo 1 — Medidas técnicas y organizativas (MTO)
- Confidencialidad (art. 32, apdo. 1, letra b RGPD): control de acceso a nivel de base de datos mediante Row-Level-Security (Supabase RLS). Autenticación con contraseñas robustas y multifactor donde esté disponible. Derechos de acceso según el principio de necesidad de conocer (need-to-know). Registros de auditoría para las acciones administrativas.
- Integridad (art. 32, apdo. 1, letra b RGPD): TLS 1.2+ en todos los endpoints públicos; conexiones de base de datos cifradas (TLS); sumas de comprobación en la restauración de copias de seguridad.
- Disponibilidad (art. 32, apdo. 1, letra b RGPD): copias de seguridad automáticas diarias con retención de 7 días (Point-in-Time-Recovery). Alojamiento en proveedores con alta disponibilidad documentada (Vercel, Supabase). Objetivo de disponibilidad: 99,5 % anual.
- Resiliencia: CDN de borde (Cloudflare) para la defensa frente a DDoS; limitación de tasa en los endpoints de la API; firewall de aplicaciones web.
- Cifrado: datos en reposo en la base de datos — cifrados (cifrado de almacenamiento de Supabase). Datos en tránsito — TLS.
- Seudonimización: donde es posible, uso de UUID en lugar de identificadores significativos; almacenamiento separado de las identidades administrativas.
- Procedimiento de verificación periódica (art. 32, apdo. 1, letra d RGPD): revisiones de seguridad trimestrales; actualización anual de las MTO; actualizaciones de seguridad automáticas de las dependencias.
- Separación: separación lógica de inquilinos (multitenancy) en la base de datos; entornos separados para producción y desarrollo.
Anexo 2 — Subencargados autorizados
| Subencargado | Sede / ubicación de los datos | Finalidad | Instrumento de transferencia |
|---|---|---|---|
| Vercel Inc. | EE. UU. / borde UE | Alojamiento, computación de borde | CCT de la UE + DPF |
| Supabase Inc. | UE (Fráncfort) | Base de datos, autenticación, almacenamiento | CCT de la UE para la matriz estadounidense |
| Resend Inc. | EE. UU. | Correos transaccionales | CCT de la UE + DPF |
| Cloudflare Inc. | EE. UU. / borde UE | DNS, CDN, protección DDoS | CCT de la UE |
Studio Apps mantiene los DPA actualizados de los subencargados, que pueden consultarse previa solicitud.