← Volver al inicio Documento legal

Acuerdo de Encargado del Tratamiento (DPA)

Versión: 1.0 · Última actualización:

1. Partes

• Encargado del Tratamiento (en adelante Amantis): Jonatan Albi Domínguez Perdomo, con nombre comercial Amantis Informática y marca Amantis TPV, NIF 45342352Z, domicilio en Calle Don Pedro Infinito, 147 — 35012 Las Palmas de Gran Canaria (España). Email: administracion@amantisinformatica.com.
• Responsable del Tratamiento (en adelante Cliente): la persona física o jurídica titular de la cuenta de empresa contratada en el servicio Amantis TPV. Los datos identificativos del Cliente son los que ha facilitado en el alta y que constan en su panel Configuración → Mis datos.

2. Objeto del acuerdo

El Cliente, como Responsable del Tratamiento, encarga a Amantis, como Encargado del Tratamiento, el tratamiento de los datos personales necesarios para la prestación del servicio Amantis TPV (software de gestión integral en la nube y aplicaciones complementarias), en las condiciones establecidas en este acuerdo y en cumplimiento del artículo 28 del Reglamento (UE) 2016/679 (RGPD), la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), y demás normativa aplicable.

3. Naturaleza, finalidad y duración del tratamiento

Naturaleza: almacenamiento, organización, conservación, consulta, comunicación por transmisión, supresión y destrucción de datos personales facilitados por el Cliente o generados por su operativa en el servicio.

Finalidad: exclusivamente la prestación del servicio Amantis TPV al Cliente, incluyendo la operativa del software (ventas, facturación, control horario, gestión de clientes y proveedores, etc.) y el soporte técnico que el Cliente solicite.

Duración: mientras dure la relación contractual entre Amantis y el Cliente y, posteriormente, durante los plazos de conservación legalmente exigibles (especialmente 6 años por normativa fiscal y contable). Pasados esos plazos, los datos serán suprimidos definitivamente según la Política de Retención y Borrado.

4. Tipo de datos y categorías de interesados

Tipos de datos personales tratados (por cuenta del Cliente, sin que Amantis sea responsable de los mismos):

• Empleados del Cliente (usuarios del software): nombre, apellidos, nombre de usuario, contraseña cifrada, rol, registros de fichaje horario (entradas/salidas), biometría facial (si el Cliente activa el kiosko de fichaje).
• Clientes finales del Cliente: nombre, NIF/CIF, dirección, email, teléfono, historial de compras/servicios.
• Proveedores del Cliente: denominación, NIF/CIF, contacto, datos bancarios (IBAN).
• Datos técnicos: direcciones IP, identificadores de dispositivo, logs de acceso al sistema (necesarios por seguridad y trazabilidad).

Categorías especiales de datos (Art. 9 RGPD): si el Cliente activa el reconocimiento facial para el fichaje, Amantis almacena plantillas biométricas derivadas (no fotos), únicamente para validar identidad en el kiosko. El Cliente es responsable de obtener consentimiento explícito de sus empleados.

5. Obligaciones de Amantis (Encargado)

Amantis se compromete a:

1. Tratar los datos personales únicamente conforme a las instrucciones documentadas del Cliente (incluido este acuerdo), salvo obligación legal aplicable.
2. No utilizar los datos para fines propios ni comunicarlos a terceros, salvo los subencargados autorizados (ver lista pública) o cuando lo exija la ley.
3. Garantizar que las personas autorizadas a tratar los datos (Amantis Informática como autónomo y, en su caso, colaboradores) se comprometen al deber de confidencialidad o están sujetas a obligación legal de secreto.
4. Aplicar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo (Art. 32 RGPD): cifrado en tránsito (HTTPS), cifrado en reposo de copias de seguridad (GPG-AES256), copias de seguridad cada 4 horas con almacenamiento off-site cifrado en Backblaze B2 (UE), control de acceso por roles, registros de auditoría de accesos administrativos (impersonación).
5. Asistir al Cliente, mediante medidas técnicas y organizativas, en el cumplimiento de su obligación de responder a las solicitudes de ejercicio de derechos (acceso, rectificación, supresión, oposición, portabilidad, limitación) ejercitados por los interesados.
6. Notificar al Cliente sin dilación indebida (en un plazo máximo de 48 horas desde su conocimiento) cualquier violación de seguridad de los datos personales que pueda afectarle, facilitando la información necesaria para que el Cliente pueda cumplir con su deber de notificación a la autoridad de control (Art. 33 RGPD).
7. Una vez finalizada la prestación del servicio, suprimir o devolver al Cliente todos los datos personales, así como las copias existentes, salvo cuando se requiera la conservación de los datos personales en virtud del Derecho de la Unión o de los Estados miembros (especialmente, conservación fiscal de 6 años).
8. Poner a disposición del Cliente toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en este acuerdo y permitir auditorías razonables previa notificación con 15 días de antelación.
9. Llevar un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del Cliente (Art. 30.2 RGPD).

6. Subencargados

El Cliente autoriza de forma general a Amantis a recurrir a los subencargados del tratamiento listados en la página pública amantistpvlaspalmas.com/subencargados, que se mantiene actualizada en todo momento.

Amantis se compromete a informar al Cliente con al menos 30 días de antelación sobre la incorporación o sustitución de cualquier subencargado, mediante aviso por email al email registrado en la cuenta del Cliente. Durante ese plazo, el Cliente podrá oponerse motivadamente al cambio; si así lo hace y no es posible alcanzar un acuerdo, el Cliente podrá resolver el contrato sin penalización.

Amantis exigirá a cada subencargado, mediante contrato escrito, las mismas obligaciones de protección de datos que asume frente al Cliente, en particular las medidas técnicas y organizativas apropiadas.

7. Transferencias internacionales de datos

Los datos personales se alojan principalmente en servidores ubicados en la Unión Europea (Clouding.io — España). Algunos subencargados pueden tratar datos fuera del Espacio Económico Europeo:

• Stripe Payments Europe Ltd. (procesamiento de pagos): tratamiento principal en Irlanda (UE). Determinadas operaciones de prevención de fraude pueden implicar transferencias a EE. UU., amparadas en las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (Decisión 2021/914).
• Backblaze B2 (copias de seguridad cifradas): datos almacenados en región europea (Ámsterdam) con cifrado en reposo. La empresa matriz está en EE. UU., amparada en las mismas Cláusulas Contractuales Tipo.

Para más detalles consulta la lista pública de subencargados.

8. Obligaciones del Cliente (Responsable)

El Cliente garantiza que:

1. Cumple con todas sus obligaciones como Responsable del Tratamiento conforme al RGPD y la LOPDGDD, incluyendo informar a sus interesados (empleados, clientes finales, proveedores) sobre el tratamiento que realiza.
2. Dispone de la base jurídica adecuada para realizar el tratamiento que encarga a Amantis (consentimiento, contrato, obligación legal, interés legítimo, etc.).
3. Sólo introduce en el sistema datos personales necesarios, exactos y actualizados, evitando incluir datos de categorías especiales (Art. 9 RGPD) salvo cuando el sistema lo prevea expresamente (p. ej. biometría para fichaje, con consentimiento explícito).
4. Mantiene actualizadas las credenciales de acceso de sus usuarios y revoca el acceso a quienes ya no lo necesiten (p. ej. al cesar un empleado).

9. Resolución del acuerdo

Este acuerdo permanecerá en vigor mientras dure la relación contractual entre Amantis y el Cliente. Su resolución se producirá automáticamente con la cancelación de la suscripción al servicio Amantis TPV, sin perjuicio de las obligaciones de devolución / supresión de datos que persistan.

10. Ley aplicable y jurisdicción

Este acuerdo se rige por la legislación española y, en particular, por el RGPD y la LOPDGDD. Para cualquier controversia, las partes se someten a los Juzgados y Tribunales de Las Palmas de Gran Canaria, con renuncia expresa a cualquier otro fuero que pudiera corresponderles.

11. Firma

Este acuerdo se considera firmado y aceptado por el Cliente desde el momento en que un administrador de su cuenta lo acepta formalmente desde el panel Configuración → Mis datos (RGPD) → Acuerdo de Encargado del Tratamiento. La firma queda registrada con sello temporal, IP, identidad del firmante y huella SHA-256 del documento, y puede ser descargada en formato PDF desde el mismo panel en cualquier momento.

Si todavía no eres cliente de Amantis TPV y necesitas el DPA firmado en papel antes de contratar, escríbenos a administracion@amantisinformatica.com y te lo enviamos en formato editable.