Acuerdo de Encargo de Tratamiento (DPA)

Art. 28 del Reglamento (UE) 2016/679 (RGPD)

1. Partes

Responsable del Tratamiento: el Cliente identificado en el Contrato de Servicio, en su condición de empresario, autónomo o profesional que utiliza GTG Facturas para emitir facturas y gestionar a sus clientes finales.

Encargado del Tratamiento: Gesturas Technology Group, S.L., NIF B02943447, con domicilio en Calle España, 22 — Faro de Calaburras, 29649 Mijas (Málaga). Contacto: legal@gtg-facturas.com.

2. Objeto

El Encargado tratará por cuenta del Responsable los datos personales necesarios para prestar el servicio GTG Facturas (en adelante, el «Servicio») conforme al Contrato suscrito y al presente DPA.

3. Naturaleza, finalidad y duración

• Naturaleza: almacenamiento, organización, consulta, modificación, comunicación y supresión de datos en la plataforma SaaS.
• Finalidad: emisión, registro, conservación y envío al sistema VeriFactu de la AEAT de las facturas del Responsable, así como gestión de su catálogo de clientes finales, productos, servicios y gastos.
• Duración: mientras esté vigente el Contrato de Servicio, más los plazos de conservación legal posteriores (cláusula 8).

4. Categorías de datos e interesados

• Datos identificativos de los clientes finales del Responsable: nombre, NIF/CIF, dirección, email, teléfono.
• Datos económicos: facturas emitidas, importes, base imponible, IVA, retenciones, formas de pago.
• Datos comerciales: productos/servicios prestados, descripciones de líneas de factura.
• Categorías de interesados: clientes finales del Responsable, proveedores en el caso de gastos.

El Encargado no tratará categorías especiales del art. 9 RGPD salvo que el Responsable las introduzca por su cuenta y bajo su exclusiva responsabilidad.

5. Obligaciones del Encargado (Art. 28.3 RGPD)

El Encargado se obliga a:

• Tratar los datos únicamente conforme a las instrucciones documentadas del Responsable, incluidas las relativas a transferencias internacionales, salvo obligación legal aplicable a la que esté sujeto el Encargado.
• Garantizar que las personas autorizadas para tratar los datos se hayan comprometido a respetar la confidencialidad.
• Adoptar las medidas técnicas y organizativas apropiadas del art. 32 RGPD (cláusula 11).
• Asistir al Responsable mediante medidas técnicas y organizativas apropiadas para el cumplimiento de su obligación de responder a las solicitudes de ejercicio de derechos del art. 12 a 22 RGPD.
• Asistir al Responsable en el cumplimiento de los arts. 32 a 36 RGPD (seguridad, brechas, evaluaciones de impacto, consultas previas).
• A elección del Responsable, devolver o suprimir todos los datos personales una vez finalizada la prestación del Servicio, salvo conservación legal obligatoria.
• Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones del art. 28 RGPD y permitir la realización de auditorías por el Responsable o por un auditor designado, conforme a la cláusula 12.
• Informar inmediatamente al Responsable si considera que una instrucción infringe el RGPD u otras disposiciones de protección de datos.

6. Subencargados (Art. 28.2 y 28.4 RGPD)

El Responsable autoriza con carácter general la subcontratación de los siguientes encargados del tratamiento, todos sujetos a obligaciones equivalentes a las del presente DPA:

• Stripe Payments Europe Ltd. (Irlanda) — pasarela de pago.
• Brevo SAS (Francia) — comunicaciones transaccionales.
• 1&1 IONOS SE (España/Alemania) — alojamiento e infraestructura.
• Google LLC (Estados Unidos) — correo corporativo y colaboración interna.
• Backblaze Inc. (Estados Unidos) — copias de seguridad cifradas.
• Otros encargados publicados en gtg-facturas.com/encargados.

El Encargado notificará la incorporación de nuevos subencargados con un preaviso mínimo de quince (15) días al email registrado del Responsable, pudiendo este oponerse mediante resolución del Contrato de Servicio sin reembolso de cuotas consumidas.

7. Transferencias internacionales

Cuando algún subencargado realice transferencias fuera del Espacio Económico Europeo, GTG garantiza la existencia de garantías adecuadas conforme al Capítulo V del RGPD: decisiones de adecuación, Cláusulas Contractuales Tipo (Decisión UE 2021/914) o adhesión al EU-U.S. Data Privacy Framework. La información detallada por proveedor está disponible en gtg-facturas.com/encargados.

8. Plazos de conservación

• Datos contables y libros de facturación: seis (6) años conforme al art. 30 del Código de Comercio.
• Registros del sistema verificable VeriFactu: mínimo cuatro (4) años conforme al art. 66 de la Ley 58/2003 General Tributaria.
• Datos no fiscales tras baja: seis (6) meses en modo solo-lectura para facilitar exportación, transcurridos los cuales serán suprimidos.

Los plazos legales prevalecen sobre la instrucción de supresión del Responsable.

9. Devolución y supresión al fin de la prestación

A elección del Responsable, al finalizar el Contrato de Servicio el Encargado: (a) devolverá los datos en formato estándar (CSV/JSON/XML/PDF); o (b) procederá a su supresión segura. En ambos casos, los datos sujetos a obligación legal de conservación se mantendrán en modo solo-lectura por los plazos indicados en la cláusula 8.

10. Asistencia en el ejercicio de derechos

Si un cliente final del Responsable se dirige al Encargado para ejercer sus derechos del art. 15 a 22 RGPD, el Encargado lo trasladará al Responsable sin dilación y prestará la asistencia técnica necesaria para que este pueda atender la solicitud.

11. Medidas de seguridad (Art. 32 RGPD)

• Cifrado en tránsito mediante TLS 1.2+.
• Cifrado en reposo de bases de datos sensibles.
• Control de accesos por roles y autenticación reforzada para administradores.
• Copias de seguridad cifradas con retención de 30 días en proveedor externo independiente.
• Registro de eventos y auditoría de accesos.
• Procedimientos de respuesta ante incidentes documentados.
• Firmas HMAC-SHA256 para comunicaciones entre módulos.
• Monitorización 24/7 de infraestructura y alertas automáticas.

12. Auditorías

El Responsable podrá auditar el cumplimiento del presente DPA con un preaviso mínimo de treinta (30) días, en horario laboral, sin entorpecer la actividad del Encargado y sujeto a deber de confidencialidad. El Encargado podrá ofrecer informes de auditoría externa o certificaciones equivalentes en lugar de auditorías presenciales. Los costes de auditoría correrán por cuenta del Responsable salvo que se constaten incumplimientos relevantes.

13. Brechas de seguridad

En caso de brecha de seguridad que afecte a datos personales tratados como Encargado, GTG notificará al Responsable sin dilación indebida y, en cualquier caso, en un plazo máximo de cuarenta y ocho (48) horas desde su conocimiento, facilitando la información necesaria para que el Responsable pueda cumplir sus propias obligaciones de notificación a la AEPD (art. 33 RGPD) y, en su caso, a los interesados (art. 34 RGPD).

14. Confidencialidad

El Encargado garantiza que el personal autorizado al tratamiento está sujeto a deber de confidencialidad expreso, que se mantendrá indefinidamente tras la finalización de la relación.

15. Responsabilidad

Cada parte responderá frente a la otra por los daños y perjuicios derivados de su incumplimiento del presente DPA y del RGPD. La responsabilidad del Encargado se rige adicionalmente por la cláusula 16 del Contrato de Servicio.

16. Vigencia

El presente DPA entra en vigor con la aceptación del Contrato de Servicio y permanece vigente mientras GTG trate datos personales por cuenta del Responsable.

17. Ley aplicable y jurisdicción

Conforme a las cláusulas 23 y siguientes del Contrato de Servicio.

Última actualización: 27 de April de 2026

Para cualquier consulta sobre este Acuerdo: legal@gtg-facturas.com