Última actualización: 3 de junio de 2026
Este documento es la versión legalmente vinculante en español.
Este Acuerdo de Encargo del Tratamiento (en adelante, "DPA") se celebra entre el usuario del servicio Factura Auto (en adelante, el "Responsable" o "Controller") y el operador del servicio (en adelante, el "Encargado" o "Processor"), de conformidad con el artículo 28 del Reglamento General de Protección de Datos (RGPD).
Este DPA complementa y forma parte de los Términos de Servicio de Factura Auto.
El Encargado tratará datos personales por cuenta del Responsable con el único fin de prestar el servicio de extracción de datos de facturas mediante inteligencia artificial.
La duración de este DPA coincide con la vigencia de la relación contractual entre las partes (uso activo del servicio Factura Auto).
• Finalidad: extracción automatizada de datos de facturas (nombre del proveedor/cliente, NIF, importes, fechas, IVA, descripciones) mediante proveedores de IA de terceros.
• Naturaleza: el tratamiento es transitorio. Los datos de las facturas se procesan en tiempo real a través de un proxy edge sin estado (Cloudflare Workers) y no se almacenan de forma persistente en la infraestructura del Encargado. Los datos transitan en memoria durante el ciclo de la solicitud y nunca se escriben en almacenamiento, logs ni disco.
• Tipos de datos personales: nombres, NIFs/CIFs, direcciones, datos bancarios, identificadores fiscales y cualquier otro dato personal que aparezca en las facturas subidas por el Responsable.
• Categorías de interesados: clientes, proveedores y empleados del Responsable cuyos datos aparezcan en las facturas procesadas.
El Responsable reconoce y acepta esta arquitectura de procesamiento transitorio como parte de los beneficios de privacidad del servicio.
El Encargado se compromete a:
a) Tratar los datos personales únicamente según las instrucciones documentadas del Responsable, salvo que esté obligado a ello por el Derecho de la Unión o del Estado miembro. Las instrucciones documentadas del Responsable se consideran incluidas en los Términos de Servicio, la Política de Privacidad y el uso normal de las funcionalidades del servicio.
b) Garantizar que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad.
c) Implementar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo (artículo 32 del RGPD).
d) No recurrir a otro encargado del tratamiento (subencargado) sin la autorización previa general del Responsable. El Encargado informará al Responsable de cualquier cambio previsto con 30 días de antelación, dando al Responsable la oportunidad de oponerse.
e) Asistir al Responsable en el cumplimiento de las solicitudes de ejercicio de derechos de los interesados (artículos 15 a 22 del RGPD).
f) Asistir al Responsable en el cumplimiento de las obligaciones relativas a la seguridad del tratamiento, notificación de brechas, evaluaciones de impacto y consultas previas (artículos 32 a 36 del RGPD).
g) A elección del Responsable, suprimir o devolver todos los datos personales al finalizar la prestación del servicio. Nota: dada la arquitectura del servicio, los datos de facturas no se almacenan en la infraestructura del Encargado, por lo que no hay datos que suprimir o devolver tras la finalización.
h) Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el artículo 28 del RGPD y permitir y contribuir a la realización de auditorías e inspecciones.
El Responsable otorga al Encargado una autorización general para recurrir a subencargados del tratamiento. Esta lista cubre los subencargados que intervienen en el tratamiento de los datos de las facturas (objeto de este DPA).
Subencargados actuales:
| Subencargado | Finalidad | Ubicación | Garantías |
|---|---|---|---|
| Microsoft Azure OpenAI (modelo gpt-4.1) | Extracción de datos mediante IA | Zona de datos de la UE (recurso West Europe) | DPA de Microsoft (aka.ms/DPA); EU Data Boundary |
| Cloudflare, Inc. | Proxy edge sin estado (tránsito en memoria, sin almacenamiento) | Red edge global (servida desde el centro de datos más cercano; puede estar fuera de la UE) | SCCs (DPA de Cloudflare: cloudflare.com/cloudflare-customer-dpa) |
| Supabase Inc. | Base de datos y autenticación | UE (París, eu-west-3) | SCCs (respaldo) |
| Vercel Inc. | Alojamiento de la aplicación | Cómputo en la UE (París, cdg1) | SCCs |
Nota: el proveedor de IA es Microsoft Azure OpenAI (modelo gpt-4.1), con despliegue DataZoneStandard en la zona de datos de la UE; el procesamiento permanece en la Unión Europea. Microsoft no utiliza el contenido para entrenar sus modelos; por defecto puede retener una muestra hasta ~30 días, dentro de la UE, únicamente para la detección de usos indebidos.
Stripe (pagos) y Brevo (email) tratan datos de la cuenta del usuario en el marco de la relación contractual y se detallan en la Política de Privacidad; no intervienen en el tratamiento de los datos de las facturas objeto de este DPA. Stripe actúa como responsable independiente respecto de los datos de pago.
Los cambios en la lista de subencargados se notificarán por correo electrónico con 30 días de antelación. El Responsable podrá oponerse a dicho cambio en el plazo de 15 días desde la notificación. Si el Responsable se opone y no se alcanza un acuerdo, cualquiera de las partes podrá resolver el contrato, conforme a lo dispuesto en los Términos de Servicio (Sección 14 — Cese del Servicio).
El Encargado se asegurará de que los subencargados estén vinculados por obligaciones de protección de datos equivalentes a las establecidas en este DPA.
Algunos subencargados pueden estar ubicados fuera del Espacio Económico Europeo. En tales casos, las transferencias se realizan al amparo de:
• Cláusulas Contractuales Tipo (SCCs) aprobadas por la Comisión Europea
• Decisiones de adecuación, cuando existan
El Encargado se compromete a no transferir datos personales a terceros países sin las garantías adecuadas conforme al Capítulo V del RGPD.
El Encargado implementa las siguientes medidas técnicas y organizativas:
• Cifrado en tránsito (TLS/HTTPS) para todas las comunicaciones
• No almacenamiento persistente de datos de facturas en la infraestructura del Encargado
• Proxy edge sin estado: los datos de facturas transitan pero no se persisten ni registran
• Controles de acceso y autenticación para todos los sistemas
• Verificación mediante tokens firmados (JWT) para las solicitudes de procesamiento
• Segregación de datos entre usuarios
• Monitorización de seguridad de la infraestructura
En caso de una brecha de seguridad que afecte a datos personales, el Encargado notificará al Responsable sin dilación indebida y en un plazo máximo de 72 horas tras tener conocimiento de la brecha.
La notificación incluirá:
• La naturaleza de la brecha
• Las categorías y número aproximado de interesados afectados
• Las posibles consecuencias de la brecha
• Las medidas adoptadas o propuestas para remediar la brecha
El Encargado cooperará con el Responsable y tomará las medidas razonables para mitigar los efectos de la brecha.
El Encargado asistirá al Responsable, mediante las medidas técnicas y organizativas apropiadas, en el cumplimiento de su obligación de responder a las solicitudes de ejercicio de derechos de los interesados (acceso, rectificación, supresión, portabilidad, limitación, oposición).
Si el Encargado recibe una solicitud directamente de un interesado, informará al interesado de que debe dirigir su solicitud al Responsable y notificará al Responsable sin dilación.
Este DPA permanecerá vigente mientras el Responsable utilice el servicio Factura Auto.
A la terminación del servicio:
• Los datos de facturas no se almacenan en la infraestructura del Encargado, por lo que no es necesaria su supresión ni devolución.
• Los datos de la cuenta del Responsable (email, perfil, datos de suscripción) se eliminarán conforme a la Política de Privacidad.
• A solicitud del Responsable, el Encargado proporcionará una declaración escrita por correo electrónico, en un plazo de 30 días, certificando la no retención de datos personales de facturas.
El Encargado pondrá a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en este DPA y en el artículo 28 del RGPD.
Los derechos de auditoría se ejercerán preferentemente mediante:
• Documentación proporcionada por el Encargado sobre las medidas técnicas y organizativas implementadas
• Cuestionarios de seguridad respondidos por el Encargado en un plazo razonable
• Informes de auditoría o certificaciones de seguridad (cuando estén disponibles)
Auditorías in situ: únicamente por causa justificada (por ejemplo, tras una brecha de seguridad confirmada), con un preaviso mínimo de 30 días, durante horario laborable, sin interferir en la operación normal del servicio, a costa del Responsable, con un máximo de una auditoría por año natural. El auditor estará sujeto a obligaciones de confidencialidad y no podrá ser un competidor del Encargado.
El Encargado colaborará con las auditorías y proporcionará la información solicitada en un plazo razonable.
La responsabilidad de cada parte bajo este DPA se rige por las disposiciones de limitación de responsabilidad establecidas en los Términos de Servicio de Factura Auto, en lo que respecta a las reclamaciones entre las partes.
Las limitaciones de responsabilidad contractuales no restringen la responsabilidad legal de ninguna de las partes frente a los interesados conforme al artículo 82 del RGPD.
Ambas partes se comprometen a cumplir las obligaciones que les corresponden conforme al RGPD.
Este DPA se rige por la legislación española y el Reglamento General de Protección de Datos (RGPD). Para la resolución de disputas relativas a este DPA, las partes se someten a lo dispuesto en los Términos de Servicio.
Mohammed Adil Moujahid
NIF: Y4470857Q
Ronda Del General Mitre 15, 3-3, 08017, Barcelona, Spain
contact@facturaauto.es
Factura Auto · facturaauto.es