← Volver

Contrato de Encargado del Tratamiento

Acuerdo conforme al artículo 28 del RGPD

Cómo se usa este documento: este es el contrato estándar que se firma entre Valltech (encargado) y un cliente que sea responsable del tratamiento de datos personales de terceros (típicamente una gestoría que procesa facturas de sus clientes). Contacta con contacto@valltech.es para recibir el documento personalizado y firmarlo digitalmente.

Reunidos

De una parte (el Responsable):

El Cliente, identificado en el formulario de alta del servicio Valltech, que actúa como responsable del tratamiento de los datos personales contenidos en las facturas de sus propios clientes que carga en la plataforma.

De otra parte (el Encargado):

Ambas partes, reconociéndose mutuamente capacidad legal suficiente, suscriben el presente contrato conforme al artículo 28 del Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD).

1. Objeto

El Responsable encarga al Encargado el tratamiento de los datos personales contenidos en los documentos (facturas, tickets, recibos) que el Responsable carga en el servicio Valltech, con la finalidad de extraer, almacenar y poner a disposición del Responsable los datos estructurados de dichos documentos.

2. Naturaleza, finalidad y duración

3. Datos personales y categorías de interesados

Categoría de interesadosDatos personales tratados
Emisores de facturas (proveedores del Responsable)Nombre o razón social, NIF/CIF, domicilio fiscal, datos de contacto si aparecen en la factura.
Receptores de facturas (clientes del Responsable, si aparecen)Nombre, NIF, domicilio fiscal.
Personas físicas firmantes o trabajadores reflejados en la facturaNombre y apellidos, en su caso DNI.

4. Obligaciones del Encargado

Conforme al artículo 28.3 del RGPD, el Encargado se compromete a:

  1. Tratar los datos personales únicamente conforme a las instrucciones documentadas del Responsable, incluso en transferencias internacionales.
  2. Garantizar que las personas autorizadas para tratar datos estén obligadas a la confidencialidad.
  3. Aplicar las medidas técnicas y organizativas apropiadas (cifrado HTTPS, almacenamiento cifrado, control de acceso por usuario, copias de seguridad, registro de actividad).
  4. No subcontratar a otros encargados sin autorización del Responsable, salvo los subencargados ya enumerados en la cláusula 6.
  5. Asistir al Responsable cuando los interesados ejerzan sus derechos (acceso, rectificación, supresión, etc.).
  6. Notificar al Responsable, sin dilación indebida y en un plazo máximo de 72 horas, cualquier violación de seguridad de los datos personales.
  7. Suprimir o devolver, a elección del Responsable, todos los datos personales tras la finalización del servicio, salvo obligación legal de conservación (4 años para facturas según la LGT).
  8. Poner a disposición del Responsable la información necesaria para demostrar el cumplimiento, y permitir auditorías razonables.

5. Medidas de seguridad

El Encargado implementa al menos las siguientes medidas:

6. Subencargados autorizados

El Responsable autoriza al Encargado a subcontratar los siguientes proveedores:

ProveedorFunciónUbicación
SupabaseBase de datos PostgreSQL y StorageUnión Europea (Irlanda)
Google GeminiProcesamiento por IA de las imágenes o PDFs de las facturasEstados Unidos / infraestructura global de Google (transferencia amparada por garantías contractuales aplicables)
Railway Corp.Hosting de la aplicaciónUnión Europea

El procesamiento se realiza mediante la API de pago de Gemini, que no utiliza el contenido enviado para entrenar ni mejorar los modelos de Google y queda sujeta a su contrato de tratamiento de datos. La transferencia internacional se realiza al amparo de las garantías contractuales correspondientes.

Cualquier cambio de subencargado se notificará al Responsable con 30 días de antelación, pudiendo este oponerse motivadamente.

7. Derechos de los interesados

El Responsable es quien debe atender las solicitudes de los interesados. El Encargado prestará la asistencia técnica razonable para localizar, exportar, rectificar o eliminar datos cuando el Responsable lo solicite.

8. Notificación de violaciones de seguridad

El Encargado notificará al Responsable cualquier brecha de seguridad de datos personales sin dilación indebida y, en cualquier caso, en un plazo no superior a 72 horas desde su conocimiento. La notificación incluirá la naturaleza de la brecha, datos afectados, medidas adoptadas y consecuencias previsibles.

9. Auditoría

El Responsable puede solicitar, con preaviso razonable, evidencia documental del cumplimiento de las obligaciones de este contrato. Auditorías presenciales serán acordadas entre las partes.

10. Devolución y supresión de datos

Al finalizar el servicio, y a elección del Responsable, el Encargado:

11. Legislación y jurisdicción

Este contrato se rige por la legislación española y la normativa europea de protección de datos. Para cualquier controversia, las partes se someten a los Juzgados y Tribunales de Ávila.

El Responsable

Nombre, NIF y firma

El Encargado — Valltech

Víctor Manuel Sanoja Valles · Y7178518W

Última actualización: 2026-05-10. Este documento se firma específicamente con cada cliente al inicio de la relación contractual.