Eucerta
Empezar ahora
Menu
Sprache
Konto

Contrato de tratamiento de datos

Contrato de tratamiento de datos por encargo

según el Art. 28 Reglamento General de Protección de Datos (DSGVO)

Estado: abril 2026

Este contrato de procesamiento de datos (AVV) forma parte del contrato de uso entre el cliente (comitente/responsable) y EUCERTA AG (contratista/encargado del tratamiento). Se acepta automáticamente mediante la celebración del contrato de uso para app.eucerta.eu / cockpit.eucerta.eu. No se requiere una firma por separado conforme al Art. 28 párr. 9 DSGVO.

Preámbulo

Este contrato de encargo de tratamiento (en adelante "CET") concreta las obligaciones de protección de datos de las partes contratantes según el Art. 28 DSGVO. Es válido para todas las actividades en las que EUCERTA AG como encargado del tratamiento procesa datos personales del cliente en el marco del uso de las plataformas app.eucerta.eu y cockpit.eucerta.eu.

EUCERTA AG procesa datos personales exclusivamente según las instrucciones del cliente y en conformidad con el DSGVO así como la Ley de Protección de Datos suiza (nDSG).

§ 1 – Partes contratantes

Comitente (Responsable en el sentido del Art. 4 No. 7 DSGVO):

La empresa o la persona física o jurídica que ha celebrado el contrato de uso con EUCERTA AG (en adelante "Comitente" o "Cliente").

Contratista (Encargado del tratamiento en el sentido del Art. 4 núm. 8 DSGVO):

EUCERTA AG, inscrita en el Registro Mercantil de Suiza

E-mail:support@eucerta.eu| Web:www.eucerta.eu

(en adelante "EUCERTA" o "Contratista")

§ 2 – Objeto y duración del tratamiento

(1) El objeto del tratamiento por encargo es la provisión y operación de las plataformas SaaS app.eucerta.eu (sistema de gestión para procesos de certificación ISO) y cockpit.eucerta.eu (portal de administración) para el cliente.

(2) Este AVV es válido durante toda la duración del contrato de uso. Termina automáticamente con la finalización del contrato de uso, sujeto a las disposiciones sobre almacenamiento y eliminación de datos del § 8 de este AVV.

§ 3 – Tipo y finalidad del tratamiento

EUCERTA procesa en el marco de la prestación de servicios contratados las siguientes categorías de datos personales:

Categoría de datos

Finalidad del tratamiento

Ubicación de almacenamiento

Datos de la cuenta (nombre, correo electrónico, nombre de la empresa, dirección)

Acceso a la plataforma, comunicación, tramitación de contratos

app.eucerta.eu (Servidor UE)

Datos de auditoría (documentos cargados, respuestas de formularios, evidencias)

Realización del proceso de certificación ISO

app.eucerta.eu (Servidor UE)

Datos del certificado (número, alcance, fecha)

Emisión y gestión de certificados

cockpit.eucerta.eu (Servidor EU)

Datos de uso (dirección IP, datos de inicio de sesión, registro de actividad)

Seguridad IT, operación de plataforma, resolución de errores

Archivos de registro del servidor (eliminados automáticamente después de 30 días)

Contenidos procesados por IA (vía Anthropic Claude API)

Creación de documentos asistida por IA, soporte de auditoría

Anthropic API – máx. 7 días, sin entrenamiento con datos de clientes

Personas afectadas: Empleados, directores gerentes y otros representantes del contratante que utilizan el sistema o cuyos datos son procesados en el marco del proceso de certificación.

§ 4 – Obligaciones del contratista (EUCERTA)

4.1 Subordinación a instrucciones

(3) EUCERTA procesa datos personales del contratante exclusivamente sobre la base de instrucciones documentadas del contratante así como conforme a los requisitos de este AVV.

(4) Las instrucciones pueden impartirse por escrito (incl. correo electrónico). Las instrucciones verbales deben confirmarse por escrito sin demora.

(5) Si EUCERTA considera que una instrucción infringe la legislación de protección de datos vigente, EUCERTA informará inmediatamente al cliente y suspenderá la ejecución de la instrucción hasta que se produzca una aclaración conforme a la ley.

4.2 Confidencialidad

(6) EUCERTA se asegura de que todas las personas que tienen acceso a los datos personales del cliente estén obligadas a la confidencialidad o estén sujetas a una obligación legal de secreto profesional.

(7) EUCERTA procesa los datos exclusivamente para los fines encomendados. Queda excluido el uso para fines propios o para terceros.

4.3 Medidas técnicas y organizativas (Art. 32 DSGVO)

(8) EUCERTA toma las medidas técnicas y organizativas (TOM) adecuadas para garantizar un nivel de protección apropiado al riesgo. Estas incluyen en particular:

• Cifrado de la transmisión de datos (TLS/SSL) y almacenamiento de datos sensibles

• Gestión de accesos y autorizaciones (principio de menor privilegio)

• Actualizaciones de seguridad regulares y análisis de vulnerabilidades

• Sistemas de respaldo y procedimientos de recuperación ante desastres

• Medidas de seguridad físicas en la ubicación del servidor (centro de datos en la UE)

(9) Las TOM actuales pueden ser solicitadas por el cliente en cualquier momento por correo electrónico asupport@eucerta.eusolicitado.

§ 5 – Obligaciones de notificación en caso de violaciones de la protección de datos (Art. 33 y 34 DSGVO)

Esta sección cumple expresamente los requisitos según el Art. 33 DSGVO (Notificación a la autoridad supervisora) y el Art. 34 DSGVO (Notificación a las personas afectadas).

(10) EUCERTA informará al cliente de forma inmediata y completa – como máximo dentro de 24 horas después de tener conocimiento – sobre cualquier violación de la protección de datos personales que pueda dar lugar a la vulneración de los derechos y libertades de las personas físicas.

(11) La notificación al cliente se realiza por correo electrónico a la dirección registrada en la cuenta de usuario, así como adicionalmente a la persona de contacto indicada en el contrato de uso. La notificación contiene al menos la siguiente información:

• Descripción del tipo de violación (categorías y número aproximado de personas afectadas y registros de datos)

• Nombre y datos de contacto de la persona de contacto responsable en EUCERTA

• Posibles consecuencias de la violación

• Medidas tomadas o propuestas para la corrección y mitigación

(12) EUCERTA documenta todas las violaciones de protección de datos internamente conforme al Art. 33 párr. 5 DSGVO y pone a disposición del contratante acceso a esta documentación previa solicitud.

(13) La obligación de notificar la vulneración a la autoridad de supervisión de protección de datos competente (según el Art. 33 Párr. 1 DSGVO) y la notificación a las personas afectadas (según el Art. 34 DSGVO) corresponde al cliente como responsable. EUCERTA apoya al cliente en este proceso con todos sus medios.

(14) EUCERTA también notifica aquellos incidentes en los que inicialmente solo se sospecha una violación de protección de datos y la sospecha posteriormente no se confirma, cuando en el momento de la notificación existían indicios suficientes de un incidente.

§ 6 – Obligación de apoyo del contratista (Art. 28 párr. 3 lit. e DSGVO)

Esta sección cumple expresamente el requisito de obligación de asistencia según el Art. 28 párr. 3 lit. e DSGVO.

(15) EUCERTA apoya al encargante según el Art. 28 párr. 3 lit. e DSGVO en el cumplimiento de las siguientes obligaciones de protección de datos mediante medidas técnicas y organizativas adecuadas:

• Respuesta a solicitudes de los interesados (información, rectificación, supresión, limitación, portabilidad de datos conforme a los Art. 15–22 DSGVO)

• Cumplimiento de las obligaciones de seguridad según el Art. 32 DSGVO

• Notificación de violaciones de la protección de datos personales según Art. 33, 34 DSGVO (véase § 5 de este AVV)

• Realización de evaluaciones de impacto en la protección de datos conforme al Art. 35 DSGVO

• Consulta previa a la autoridad de supervisión conforme al Art. 36 DSGVO

(16) Si EUCERTA recibe una solicitud de una persona afectada que se refiera a datos del contratante, EUCERTA la remite inmediatamente al contratante. EUCERTA no responde a las solicitudes de las personas afectadas en nombre propio, sino únicamente siguiendo las instrucciones del contratante.

(17) Para el apoyo según este § 6, EUCERTA proporciona a través de las funciones de plataforma de app.eucerta.eu y cockpit.eucerta.eu las siguientes funciones que el contratante puede utilizar de forma independiente:

• Exportación de datos: exportación completa de todos los datos personales como CSV/JSON (formato de archivo según § 9 de este AVV)

• Autoborrado de datos: eliminación autónoma de registros individuales en el sistema

• Consultas de usuarios: contacto directo a través desupport@eucerta.eupara consultas complejas de interesados

§ 7 – Derecho de control del comitente (Art. 28 Abs. 3 lit. h DSGVO)

Esta sección cumple expresamente el derecho de control según el Art. 28 párr. 3 lit. h DSGVO.

(18) El cliente tiene el derecho de controlar el cumplimiento de las disposiciones de este AVV así como de las normativas de protección de datos vigentes por parte de EUCERTA en cualquier momento en la medida necesaria.

(19) El derecho de control puede ejercerse de la siguiente manera:

• Consultas por escrito (por correo electrónico a support@eucerta.eu): EUCERTA responde a consultas sobre procesamiento de datos, sobre TOM y sobre medidas de seguridad dentro de 10 días laborables.

• Presentación de evidencias: EUCERTA proporciona bajo solicitud certificaciones pertinentes, informes de auditoría y certificados (p. ej., según ISO 27001 u otras evidencias comparables).

• Control in situ: El contratante puede realizar una inspección presencial en las instalaciones comerciales de EUCERTA en horario comercial habitual, previa notificación con un plazo mínimo de 15 días laborables. Los controles deben limitarse al mínimo necesario.

• Tercero autorizado: El contratante puede encargar a un tercero cualificado (p. ej. auditor externo de protección de datos) el control, siempre que este esté obligado a la confidencialidad.

(20) EUCERTA está obligada a proporcionar al contratante toda la información necesaria para el control y poner a disposición las pruebas correspondientes.

(21) EUCERTA informa al cliente de inmediato cuando una autoridad supervisora lleve a cabo medidas de control en EUCERTA, en la medida en que estas se refieran al tratamiento de datos del cliente.

(22) Los costos de las inspecciones in situ según el párr. 2 (tercer guión) los asume el contratante, en la medida en que el esfuerzo exceda lo que corresponde en el marco de la documentación contractualmente debida y el suministro de información.

§ 8 – Eliminación de datos y devolución al finalizar el contrato

(23) Tras la finalización del contrato de uso, todos los datos personales del contratante que estén almacenados en app.eucerta.eu y cockpit.eucerta.eu serán eliminados o devueltos a solicitud del contratante.

(24) Se aplican los siguientes plazos:

Categoría de datos

Plazo de eliminación

Aviso

Cuentas de usuario, datos de contacto

30 días después del fin del contrato

Bajo solicitud también de inmediato; consulta posible mediante exportación de datos

Documentos de auditoría, respuestas de formularios

30 días después del fin del contrato

Exportación previa como PDF/CSV recomendada

Datos del certificado (Referencia)

30 días después del fin del contrato

El PDF del certificado permanece en el cliente; eliminación de la referencia de la plataforma

Archivos de registro del servidor

30 días (automáticamente)

Independientemente de la finalización del contrato

Facturas, comprobantes de pago

NINGUNA eliminación por EUCERTA

Obligación legal de conservación 10 años (§ 257 HGB, § 147 AO); datos en Digistore24

Claude API (procesamiento de IA)

Máx. 7 días (automático)

Procesamiento a través de la API de Anthropic – sin uso para entrenamiento de IA

(25) A petición del cliente, EUCERTA pone a disposición para descarga todos los datos en un formato común y legible por máquina antes de su eliminación (véase § 9 de este AVV).

(26) Tras la eliminación realizada, EUCERTA proporciona al contratante, a petición, una prueba escrita de eliminación.

(27) Las documentaciones que sirven para demostrar el procesamiento adecuado de datos se conservarán más allá del final del contrato, en la medida en que sea legalmente requerido.

§ 9 – Exportación de datos por el cliente (Derecho a la portabilidad de datos)

(28) El contratante puede exportar de forma independiente sus datos personales así como todos los datos creados en el marco del uso desde app.eucerta.eu y cockpit.eucerta.eu en cualquier momento. Están disponibles los siguientes formatos de exportación:

Tipo de datos

I need the German text to translate it to Spanish. Please provide the content you'd like me to translate, and I'll return only the Spanish translation while keeping technical terms, brand names (Eucerta, ISO, DSGVO), numbers, and formatting unchanged.

Descripción

Certificados

PDF

Certificado oficial con código QR para verificación

Documentación de Auditoría y Manual de Gestión de Calidad

PDF

Documentación completa del sistema de gestión

Respuestas de formularios y datos sin procesar

CSV

Todos los datos introducidos en formato tabular (legible por máquina)

Exportación completa de datos (DSGVO Art. 20)

ZIP (PDF + CSV + JSON)

Todos los datos personales y documentos como paquete completo

(29) La exportación está disponible a través del área "Mi cuenta" / "Configuración" en app.eucerta.eu y cockpit.eucerta.eu por parte del cliente mismo, sin necesidad de consulta previa con EUCERTA.

§ 10 – Uso de subcontratistas (Sub-encargados del tratamiento)

(30) EUCERTA utiliza los siguientes subcontratistas para la prestación de los servicios encargados, a los cuales pueden transmitirse datos personales del cliente:

Subcontratista

Propósito

Ubicación / Nivel de protección de datos

Anthropic PBC (API de Claude)

Asistencia de IA en la creación de documentos y auditoría

EE.UU. – condiciones comerciales de API; sin entrenamiento con datos de clientes; almacenamiento máximo de 7 días

Proveedor de hosting (Centro de datos de la UE)

Infraestructura de servidor para app.eucerta.eu y cockpit.eucerta.eu

UE – conforme al RGPD, ubicación del servidor Alemania/Suiza

Digistore24 GmbH

Procesamiento de pagos (sin acceso a datos de auditoría/certificados)

Alemania – conforme al DSGVO; declaración de protección de datos propia

(31) EUCERTA celebra con todos los subcontratistas a los que se transmiten datos personales contratos propios de tratamiento por encargo que garantizan un nivel de protección de datos equivalente al presente AVV.

(32) En caso de cambios sustanciales respecto al uso de subcontratistas, EUCERTA informará al contratante con la debida antelación. El contratante puede objetar un cambio planificado si existen razones objetivas.

§ 11 – Obligaciones del contratante

(33) El contratante es responsable de la legalidad del tratamiento de datos personales en el sentido del DSGVO.

(34) El contratante garantiza que dispone de una base jurídica válida para el tratamiento de datos personales antes de que estos sean introducidos en la plataforma.

(35) El comitente informa a EUCERTA sin dilación sobre errores o irregularidades en el tratamiento de datos personales de los que tenga conocimiento.

(36) La obligación de notificación a la autoridad de supervisión que resulta del Art. 33 Abs. 1 DS-GVO corresponde al contratante.

§ 12 – Responsabilidad y disposiciones finales

(37) Las disposiciones de responsabilidad entre las partes se rigen por el Art. 82 DS-GVO así como por los acuerdos de responsabilidad establecidos en el contrato de uso.

(38) Este AVV se rige por el derecho de la República Federal de Alemania, complementado por las disposiciones aplicables de la Ley de Protección de Datos suiza (nDSG).

(39) Las modificaciones de este AVV requieren forma escrita. EUCERTA anunciará las modificaciones con un plazo de al menos 30 días de antelación. El contratante tiene el derecho de rescindir extraordinariamente el contrato de uso en caso de modificaciones sustanciales.

(40) Si algunas disposiciones de este AVV fueran o llegaran a ser ineficaces, la eficacia de las demás disposiciones permanecerá inalterada.

(41) Este AVV es válido en forma electrónica conforme al Art. 28 párr. 9 DSGVO y es aceptado por ambas partes mediante la celebración del contrato de uso para app.eucerta.eu o cockpit.eucerta.eu. No es necesaria una firma en papel.

Aceptado mediante conclusión del contrato:

Mandante (Responsable)

La empresa / la persona según contrato de uso

Aceptado: mediante celebración del contrato (Online, según términos y condiciones generales)

Contratista (Encargado del tratamiento)

EUCERTA AG, Zúrich, Suiza

Representado por: Christian Paredes, Director Gerente

Este AVV está disponible en eucerta.eu/avv. Estado: abril de 2026.