Contrato de encargado del tratamiento (DPA)

Acuerdo entre cliente (hermandad) y WinHermandades conforme al art. 28 RGPD.

Al contratar el servicio SaaS WinHermandades, el cliente (hermandad, cofradía o federación) se adhiere automáticamente al presente acuerdo de encargo del tratamiento. Este documento forma parte integrante del contrato de prestación del servicio y cumple con los requisitos del artículo 28 del Reglamento (UE) 2016/679 (RGPD).

1. Partes

Responsable del tratamiento: el cliente contratante del servicio, titular de los datos de sus hermanos (en adelante, "el Cliente" o "el Responsable").
Encargado del tratamiento: TECNICOM PRODUCTOS Y SERVICIOS INFORMÁTICOS, S.L., CIF B90445594, con domicilio en Avenida Colón 21, Local, 41960 — Gines (Sevilla), España (en adelante, "Tecnicom", "WinHermandades" o "el Encargado"). Teléfono +34 954 71 48 63 · +34 696 948 138. Correo: info@tecnicominformatica.com.

2. Objeto

El Encargado tratara por cuenta del Responsable los datos personales necesarios para prestar los servicios de gestión de hermandades conforme a las funcionalidades contratadas (gestión de fichas de hermano, emisión de recibos, remesas SEPA, pagos online, comunicaciones, almacenamiento de documentos, asistente de IA y portales web).

3. Duracion

El presente acuerdo entra en vigor en la fecha de contratacion del servicio y permanecera vigente mientras dure la relacion contractual, hasta la devolucion o supresion de los datos conforme a la clausula 10.

4. Naturaleza y finalidad del tratamiento

Naturaleza: tratamiento automatizado por medios electronicos en infraestructura SaaS multi-inquilino.
Finalidad: prestación del servicio de gestión de hermandades contratado por el Cliente.
Tipo de datos: identificativos, de contacto, bancarios, económicos, familiares, relativos a la actividad cofrade y, en su caso, imagen. Pueden incluirse datos de menores y, en su contexto, datos que revelen convicciones religiosas (categoría especial, art. 9 RGPD).
Categorías de interesados: hermanos activos y en baja, tutores de menores, junta de gobierno, usuarios del portal.

5. Obligaciones del Encargado

WinHermandades se compromete a:

Tratar los datos unicamente siguiendo las instrucciones documentadas del Responsable. Si considera que una instruccion infringe la normativa, se lo comunicara inmediatamente.
Garantizar la confidencialidad de los datos, vinculando contractualmente a su personal con deber de confidencialidad incluso después del cese de la relacion.
Aplicar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, incluyendo:
- Cifrado de datos en transito (TLS 1.3) y en reposo.
- Aislamiento multitenant a nivel de base de datos mediante Row-Level Security.
- Copias de seguridad diarias cifradas con pruebas mensuales de restauracion.
- Autenticación con hashing Argon2 y MFA disponible para roles sensibles.
- Auditoria exhaustiva de accesos y cambios.
- Control de acceso por roles y permisos granulares.
Asistir al Responsable en la respuesta al ejercicio de derechos de los interesados, en la realizacion de evaluaciones de impacto (EIPD) si procede, y en la notificación de brechas.
Notificar sin dilacion indebida (y en todo caso en menos de 48 horas desde el conocimiento) cualquier brecha de seguridad que afecte a los datos del Responsable, proporcionando información suficiente para cumplir sus obligaciones del artículo 33 RGPD.
Poner a disposicion del Responsable toda la información necesaria para demostrar el cumplimiento y permitir auditorias razonables.
Devolver o suprimir los datos al finalizar la prestación, a eleccion del Responsable (clausula 10).
Mantener un registro de actividades de tratamiento como encargado conforme al art. 30.2 RGPD.

6. Subencargados

El Cliente autoriza al Encargado a subcontratar con terceros (subencargados) la prestación parcial del servicio, con el compromiso de imponerles obligaciones equivalentes de protección de datos. La lista vigente de subencargados a fecha de este documento es:

Subencargado	Servicio	Ubicación
Proveedor de infraestructura cloud (UE)	Infraestructura y BD	Union Europea
Backblaze Inc.	Backups cifrados	EU Central, Amsterdam (UE)
Stripe Payments Europe Ltd	Pasarela de pago y facturación	Irlanda (UE)
Redsys Servicios de Procesamiento	TPV bancario (opcional por tenant)	España (UE)
Anthropic PBC	Asistente IA (Claude)	EEUU — con SCCs + EU-US DPF + minimizacion
Sendinblue / Brevo SAS	Correo transaccional	Francia (UE)

El Encargado comunicara al Responsable con al menos 30 días de antelacion cualquier alta o sustitucion de subencargados, permitiendole oponerse motivadamente. En caso de oposicion razonable, las partes negociaran una solucion; si no se alcanza, el Cliente podra resolver el contrato sin penalizacion.

7. Transferencias internacionales

Los datos se almacenan y procesan principalmente dentro de la Union Europea. Las únicas transferencias internacionales previstas son:

A Anthropic PBC (EEUU) para el servicio de IA, amparadas por las Cláusulas Contractuales Tipo (SCCs) de la Comisión Europea y por el EU-US Data Privacy Framework, con medidas adicionales de minimizacion (enmascarado por defecto de DNI e IBAN) y prohibicion contractual de uso de los datos para entrenamiento.

El Cliente puede desactivar completamente el asistente IA desde la configuracion del tenant si no desea estas transferencias.

8. Derechos de los interesados

Cuando un interesado (hermano, tutor, usuario) ejerza derechos ante el Encargado directamente, este los redirigira al Responsable salvo que el propio servicio contemple un flujo autoservicio (por ejemplo, exportacion desde el Portal del Hermano). El Encargado asistira al Responsable en la atencion de los derechos con los medios técnicos del producto (busqueda, exportacion, supresion, anonimizacion).

9. Seguridad y brechas

Las medidas de seguridad técnicas y organizativas aplicadas por el Encargado se describen en la clausula 5.3 y se detallan en la Política de privacidad. Ante una brecha que afecte a datos del Responsable:

Notificación al Cliente en menos de 48 horas desde el conocimiento efectivo.
Información mínima: naturaleza, categorías y número aproximado de interesados y registros afectados, consecuencias probables y medidas adoptadas o propuestas.
Cooperacion en la elaboracion de la notificación a la AEPD si el Responsable decide hacerla.

10. Fin del tratamiento

A la finalizacion del servicio, el Encargado:

Permitira al Cliente exportar todos sus datos en formato estructurado (JSON + ZIP con adjuntos) durante los 90 días posteriores a la baja.
Transcurridos esos 90 días, suprimira los datos, salvo obligación legal de conservación o petición expresa del Cliente de conservar durante un periodo mayor bajo su responsabilidad.
Mantendra copias de seguridad cifradas hasta 24 meses tras la baja definitiva, inaccesibles operativamente, para cumplir obligaciones legales y permitir respuesta a requerimientos judiciales o de autoridades.

11. Responsabilidad

Las responsabilidades de las partes frente a los interesados se rigen por el artículo 82 RGPD. Internamente, las partes asumen la responsabilidad que les corresponda según su rol y sus incumplimientos, limitandose la responsabilidad del Encargado al importe equivalente a las doce últimas mensualidades del servicio salvo en casos de dolo o negligencia grave.

12. Ley aplicable y jurisdiccion

Este acuerdo se rige por la legislacion española y de la Union Europea. Para cualquier controversia, las partes se someten a los Juzgados y Tribunales de Sevilla, con renuncia expresa a cualquier otro fuero que les pudiera corresponder.

Descarga la versión firmada: los clientes de planes Enterprise reciben una copia personalizada y firmada de este DPA. Para el resto de planes, la adhesión se formaliza automáticamente en el momento de la contratación del servicio. Para cualquier aclaración: info@tecnicominformatica.com.