Última actualización: 16 de mayo de 2026
Acuerdo de Encargado del Tratamiento (DPA)
Este documento regula las obligaciones de Brema (en adelante, "el Encargado") respecto al tratamiento de los datos personales que el usuario (en adelante, "el Responsable") introduce en el Servicio sobre terceras personas (clientes, proveedores, empleados, etc.). Se redacta conforme al artículo 28 del Reglamento (UE) 2016/679 (RGPD).
Al utilizar el Servicio y aceptar los Términos de servicio, el Responsable acepta también el presente DPA como parte integrante del contrato.
1. Objeto del tratamiento
El Encargado tratará los datos personales que el Responsable introduzca en el Servicio (en adelante, "Datos del Cliente") con la única finalidad de prestar las funcionalidades contratadas: gestión de catálogo, clientes, pedidos, facturación, stock y TPV.
2. Duración
El presente DPA estará en vigor mientras dure la relación contractual de prestación del Servicio. Tras su finalización, el Encargado procederá conforme a lo indicado en la sección 8.
3. Naturaleza y finalidad del tratamiento
- Naturaleza: almacenamiento, consulta, modificación, organización, cesión a destinatarios autorizados (por orden del Responsable) y supresión.
- Finalidad: prestar las funcionalidades del Servicio contratado.
- Categorías de interesados: clientes del Responsable, proveedores del Responsable, empleados / miembros invitados a la empresa por el Responsable.
- Categorías de datos: identificativos, fiscales (NIF/CIF), contacto (email, teléfono, dirección), bancarios (IBAN), datos comerciales (productos, precios, pedidos, facturas). No se tratan categorías especiales de datos (art. 9 RGPD).
4. Obligaciones del Encargado
El Encargado se compromete a:
- Tratar los Datos del Cliente únicamente conforme a las instrucciones documentadas del Responsable, incluyendo las relativas a transferencias internacionales, salvo obligación legal en contrario.
- Garantizar que las personas autorizadas para tratar los datos se comprometan a respetar la confidencialidad o estén sujetas a una obligación legal de confidencialidad.
- Adoptar todas las medidas de seguridad técnicas y organizativas apropiadas conforme al artículo 32 del RGPD (cifrado en tránsito y reposo, control de acceso, copias de seguridad, monitorización de logs).
- Asistir al Responsable mediante medidas técnicas y organizativas para que pueda atender las solicitudes de ejercicio de derechos de los interesados (acceso, rectificación, supresión, etc.).
- Notificar al Responsable, sin dilación indebida y como máximo en 72 horas, cualquier violación de la seguridad de los datos personales que afecte a los Datos del Cliente.
- Asistir al Responsable en la realización de evaluaciones de impacto y consultas previas a la autoridad de control, cuando proceda.
- Mantener un registro de las categorías de actividades de tratamiento efectuadas por cuenta del Responsable conforme al art. 30.2 RGPD.
- Poner a disposición del Responsable, previa solicitud razonable, toda la información necesaria para demostrar el cumplimiento de las obligaciones de este DPA.
5. Subencargados
El Responsable autoriza al Encargado a subcontratar el tratamiento con los siguientes subencargados:
| Subencargado | Servicio | Ubicación |
|---|---|---|
| Supabase Inc. | Base de datos PostgreSQL, autenticación, almacenamiento | Unión Europea (eu-central-1 / eu-west-3) |
| Vercel Inc. | Hosting de la aplicación web | Unión Europea |
| [REVISAR: Stripe / Resend / Sentry cuando se integren] | Pagos / Email / Observabilidad | [REVISAR] |
El Encargado informará al Responsable de cualquier cambio previsto sobre la incorporación o sustitución de otros subencargados con un preaviso razonable, para que el Responsable pueda oponerse a dichos cambios.
6. Transferencias internacionales
Los Datos del Cliente se alojan dentro del Espacio Económico Europeo (EEE). En caso de que algún subencargado implicara transferencia internacional fuera del EEE, se aplicarían las garantías previstas en el RGPD (cláusulas contractuales tipo o decisiones de adecuación de la Comisión Europea).
7. Asistencia y derechos de los interesados
Cuando un interesado se dirija directamente al Encargado para ejercer sus derechos sobre Datos del Cliente, el Encargado redirigirá la solicitud al Responsable. El Encargado pone a disposición del Responsable las herramientas del Servicio para gestionar dichos derechos (exportación de datos, rectificación, supresión).
8. Final de la prestación del servicio
A la finalización de la relación contractual, el Encargado, a elección del Responsable, devolverá los Datos del Cliente o procederá a su supresión segura. La supresión se realizará en un plazo no superior a treinta (30) días, salvo aquellos datos que el Encargado deba conservar por obligación legal (registros fiscales, copias de seguridad de retención breve), debidamente bloqueados.
9. Auditoría
El Responsable podrá solicitar al Encargado, una vez al año y con preaviso razonable, evidencia documental del cumplimiento de las obligaciones del presente DPA (políticas de seguridad, certificaciones de proveedores, logs agregados).
10. Vigencia y modificación
El Encargado podrá modificar el presente DPA cuando sea necesario para cumplir con cambios normativos o para reflejar cambios sustanciales en los subencargados. Las modificaciones se comunicarán al Responsable con un preaviso razonable.
Documento en versión inicial. Revisión legal externa pendiente antes del lanzamiento comercial.