Última actualización: 13 de junio de 2026
Contrato de encargado del tratamiento
Este Contrato (o «DPA», por sus siglas en inglés) regula el tratamiento de datos personales que [RAZÓN SOCIAL O NOMBRE Y APELLIDOS DEL TITULAR] («Aproba», encargado del tratamiento) realiza por cuenta del despacho, gestoría o profesional que usa la plataforma («el Cliente», responsable del tratamiento), conforme al artículo 28 del RGPD. Forma parte inseparable de los Términos y condiciones y se entiende aceptado al contratar el servicio.
1. Objeto y roles
El Cliente es el responsable de los datos personales de sus propios clientes (las personas extranjeras cuyos expedientes tramita) y demás interesados que introduzca en la plataforma. Aproba trata dichos datos únicamente por cuenta del Cliente y siguiendo sus instrucciones documentadas, que incluyen las dadas a través del uso normal de la plataforma y las recogidas en este DPA.
2. Descripción del tratamiento (art. 28.3 RGPD)
- Objeto y naturaleza: alojamiento, organización, validación asistida por IA, generación de formularios oficiales y comunicación, en el marco de la tramitación de expedientes de extranjería.
- Finalidad: permitir al Cliente prestar sus servicios profesionales a sus clientes.
- Duración: mientras esté vigente la relación contractual, más los plazos de devolución o supresión de la cláusula 8.
- Tipos de datos: identificativos y de contacto, documentos de identidad (pasaporte, NIE, tarjetas de residencia), datos de domicilio y familiares, datos económicos y laborales, y cualquier otro contenido en la documentación que el Cliente suba. Puede incluir datos que revelen la nacionalidad y, eventualmente, categorías especiales; el Cliente garantiza contar con base de legitimación válida para tratarlos.
- Categorías de interesados: los clientes del despacho y personas relacionadas con sus expedientes.
3. Obligaciones de Aproba como encargado
Aproba se compromete a:
- tratar los datos solo conforme a las instrucciones del Cliente, salvo obligación legal;
- garantizar que las personas autorizadas a tratar los datos se han comprometido a la confidencialidad;
- aplicar las medidas de seguridad técnicas y organizativas apropiadas (art. 32): cifrado en tránsito y en reposo, almacenamiento en bucket privado, aislamiento por despacho mediante políticas de seguridad a nivel de fila, control de acceso por roles y registro de eventos;
- asistir al Cliente para responder a las solicitudes de ejercicio de derechos de los interesados;
- ayudar al Cliente a cumplir sus obligaciones de seguridad, notificación de brechas y evaluaciones de impacto;
- poner a disposición del Cliente la información necesaria para demostrar el cumplimiento y permitir auditorías razonables;
- no tratar los datos del expediente para finalidades propias ni para entrenar modelos de inteligencia artificial.
4. Subencargados
El Cliente autoriza a Aproba a recurrir a los subencargados necesarios para prestar el servicio, con un contrato que les imponga las mismas obligaciones de protección de datos. La lista vigente es:
| Subencargado | Finalidad | Ubicación |
|---|---|---|
| Supabase (Supabase Inc.) | Alojamiento de la base de datos, autenticación y almacenamiento cifrado de documentos. | Unión Europea (infraestructura en región europea). |
| Anthropic (Anthropic PBC) — Claude | Validación y extracción asistida por IA de los documentos del expediente (p. ej. pasaporte, NIE). No se usan los datos para entrenar modelos. | EE. UU. |
| Stripe (Stripe Payments Europe, Ltd.) | Procesamiento de los pagos de la suscripción a Aproba. | Irlanda (UE) y EE. UU. |
| Resend (Resend, Inc.) | Envío de notificaciones y correos transaccionales a los clientes del despacho. | EE. UU. (entrega a través de servidores en la UE, eu-west-1). |
| Vercel (Vercel Inc.) | Alojamiento y entrega de la aplicación web. | EE. UU. con red de distribución global (edge). |
| Cloudflare (Cloudflare, Inc.) | Gestión de DNS y protección de la red del dominio. | EE. UU. con red global. |
Aproba informará de cualquier cambio previsto en los subencargados, dando al Cliente la posibilidad de oponerse por motivos razonables.
5. Transferencias internacionales
Cuando un subencargado esté fuera del EEE, la transferencia se ampara en las Cláusulas Contractuales Tipo de la Comisión Europea (SCC) y/o en marcos de adecuación, con medidas adicionales cuando proceda. La base de datos y los documentos se alojan en la Unión Europea.
6. Violaciones de seguridad
Aproba notificará al Cliente sin dilación indebida tras tener conocimiento de una violación de la seguridad que afecte a los datos tratados por su cuenta, facilitando la información disponible para que el Cliente cumpla, en su caso, con sus deberes de notificación a la autoridad de control y a los interesados.
7. Devolución o supresión al finalizar
A la finalización del servicio, y a elección del Cliente, Aproba le devolverá los datos en un formato estándar o los suprimirá, junto con las copias existentes, salvo que deba conservarlos por obligación legal. El Cliente dispondrá de un plazo razonable para exportar sus datos antes de la supresión.
8. Responsabilidad
Cada parte responde del cumplimiento de las obligaciones que el RGPD le atribuye según su rol. La limitación de responsabilidad pactada en los Términos y condiciones resulta de aplicación a este DPA en la medida permitida por la ley.
9. Contacto
Para cualquier cuestión relativa a este Contrato: privacidad@aproba-software.com.