Cestwise AI← Volver al inicio

Acuerdo de Tratamiento de Datos (DPA)

Modelo de Encargo del Tratamiento conforme al artículo 28 del Reglamento (UE) 2016/679 (RGPD), al artículo 33 LOPDGDD y a las Cláusulas Contractuales Tipo de la Comisión Europea (Decisión de Ejecución (UE) 2021/915 sobre cláusulas tipo entre responsables y encargados). Aplicable a todo cliente con la condición de responsable del tratamiento (B2B / B2B2C) que utilice Cestwise para procesar datos personales de personas físicas distintas del propio Usuario contratante.

1. Partes

  1. Responsable del tratamiento (en adelante, «el Responsable»): el cliente B2B que contrata el Servicio en su condición de empresa, residencia, oficina o entidad equivalente, identificado en el formulario de aceptación de este DPA.
  2. Encargado del tratamiento (en adelante, «el Encargado» o «Cestwise»): D. Ramiro Losada Gómez, con NIF 04191908C, con domicilio en Calle Medellín 10, 2º B, 28010 Madrid, España. Datos completos en el Aviso Legal.

2. Objeto del Encargo

El Encargado tratará por cuenta del Responsable los datos personales necesarios para la prestación del Servicio descrito en el contrato principal (suscripción a planes Premium, add-ons y/o uso de la API y del Asistente de Compra). El presente DPA forma parte integrante de dicho contrato principal y prevalece sobre éste en todo lo relativo al tratamiento de datos personales.

3. Naturaleza, finalidad y duración del tratamiento

  • Naturaleza: almacenamiento, organización, procesamiento algorítmico (matching, optimización, recomendaciones), comunicación, conservación y eliminación.
  • Finalidad: exclusivamente la prestación del Servicio contratado por el Responsable.
  • Duración: mientras dure la relación contractual principal, más los plazos legales de conservación que sean de aplicación.

4. Categorías de datos e interesados

  • Datos identificativos y de contacto de los empleados, residentes, miembros u otras personas físicas a quienes se preste servicio por cuenta del Responsable.
  • Datos de hábitos de consumo alimentario, listas de la compra y compras realizadas.
  • Datos relativos a salud únicamente cuando el Responsable los facilite voluntariamente y haya recabado el consentimiento explícito del interesado (art. 9.2.a RGPD).
  • Categorías de interesados: empleados del Responsable, residentes en alojamientos colectivos cuando proceda, comensales en servicios HORECA y otras personas físicas que el Responsable decida incluir.

5. Obligaciones del Encargado (art. 28.3 RGPD)

El Encargado se obliga a:

  1. Tratar los datos personales únicamente conforme a las instrucciones documentadas del Responsable, incluso en lo relativo a transferencias internacionales, salvo que el Encargado esté obligado por el Derecho de la UE o de los Estados miembros, en cuyo caso lo notificará al Responsable salvo prohibición legal.
  2. Garantizar que las personas autorizadas para tratar los datos se comprometan formalmente a respetar la confidencialidad o estén sujetas a una obligación legal de confidencialidad.
  3. Adoptar las medidas técnicas y organizativas adecuadas conforme al artículo 32 RGPD detalladas en el Anexo II del presente DPA.
  4. Asistir al Responsable, teniendo en cuenta la naturaleza del tratamiento, mediante medidas técnicas y organizativas apropiadas, siempre que sea posible, para que pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados.
  5. Asistir al Responsable a garantizar el cumplimiento de las obligaciones de los artículos 32 a 36 RGPD (seguridad, notificación de violaciones de seguridad, evaluaciones de impacto y consulta previa).
  6. A elección del Responsable, suprimir o devolver todos los datos personales una vez finalizada la prestación del Servicio, así como suprimir las copias existentes a menos que se requiera la conservación de los datos personales en virtud del Derecho aplicable.
  7. Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones del art. 28 RGPD, así como permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del Responsable o de otro auditor autorizado por dicho responsable.
  8. Informar inmediatamente al Responsable si, en su opinión, una instrucción infringe la normativa aplicable de protección de datos.
  9. Notificar al Responsable, sin dilación indebida y a más tardar en las cuarenta y ocho (48) horas siguientes a su conocimiento, cualquier violación de seguridad de los datos personales, junto con la información mínima del art. 33.3 RGPD.

6. Subencargados

El Responsable autoriza con carácter general al Encargado a recurrir a subencargados para la prestación del Servicio. Los subencargados actuales se relacionan en el Anexo III del presente DPA, que también se publica de forma actualizada en el apartado 7 de la Política de Privacidad.

Cualquier alta o baja de subencargado se notificará al Responsable con una antelación mínima de quince (15) días naturales por correo electrónico, durante los cuales el Responsable podrá oponerse razonadamente. En caso de oposición, las partes negociarán de buena fe una solución alternativa o el Responsable podrá rescindir el contrato sin penalización.

El Encargado celebrará con cada subencargado un contrato que imponga a éste las mismas obligaciones de protección de datos que las establecidas en el presente DPA y, en particular, garantías suficientes de aplicación de las medidas técnicas y organizativas apropiadas.

7. Transferencias internacionales

Cuando el Encargado realice transferencias internacionales fuera del Espacio Económico Europeo, garantizará la existencia de garantías adecuadas conforme al capítulo V del RGPD, mediante:

  • Decisiones de adecuación de la Comisión Europea cuando existan.
  • Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (Decisión 2021/914), suscritas con el subencargado.
  • Adhesión del subencargado a marcos certificados (EU-US Data Privacy Framework cuando aplique).
  • Análisis de transferencia (Transfer Impact Assessment, TIA) cuando sea necesario tras la sentencia Schrems II del TJUE.

8. Devolución de datos al fin del contrato

Tras la terminación del contrato principal, el Encargado, a elección del Responsable comunicada por escrito en un plazo razonable:

  • Exportará los datos en formato estándar (CSV/JSON estructurado).
  • Eliminará los datos personales tratados por su cuenta y certificará la eliminación.

El plazo máximo de eliminación tras la solicitud es de noventa (90) días naturales, salvo conservación obligatoria por imperativo legal (datos fiscales, contables) cuyo plazo seguirá la normativa correspondiente.

9. Responsabilidad e indemnización

Cada parte responderá frente a la otra del incumplimiento de las obligaciones del presente DPA. La responsabilidad agregada del Encargado frente al Responsable por incumplimientos del presente DPA durante un periodo de doce (12) meses no excederá del importe efectivamente abonado por el Responsable al Encargado en los doce (12) meses inmediatamente anteriores al hecho generador. Esta limitación no aplicará a daños causados por dolo, culpa grave del Encargado o sanciones administrativas firmes derivadas de incumplimientos imputables exclusivamente al Encargado.

Las partes podrán acumular responsabilidad solidaria frente a los interesados conforme al art. 82 RGPD, sin perjuicio del derecho de repetición interno entre ellas.

10. Auditoría

El Responsable podrá auditar el cumplimiento del Encargado una (1) vez al año, con preaviso mínimo de treinta (30) días, a su cargo, mediante auditor independiente sometido a deber de confidencialidad. El Encargado podrá oponerse a auditorías que comprometan la confidencialidad de otros clientes y sustituirlas por la entrega de certificaciones SOC 2, ISO 27001 u otras equivalentes cuando existan, conforme al art. 28.3.h RGPD.

11. Vigencia y terminación

El presente DPA entrará en vigor con la aceptación expresa por ambas partes y se mantendrá vigente mientras dure el contrato principal y durante los plazos legales de conservación posteriores. La terminación del contrato principal implicará la del presente DPA, sin perjuicio de las obligaciones de devolución/supresión de datos.

12. Legislación aplicable y jurisdicción

Aplica lo dispuesto en el apartado 10 del Aviso Legal.

Anexo I — Detalle del tratamiento

  • Finalidad específica: prestación del Servicio contratado.
  • Categorías de datos: ver apartado 4 del cuerpo del DPA y apartado 3 de la Política de Privacidad.
  • Categorías de interesados: ver apartado 4 del DPA.
  • Plazo de conservación: ver apartado 6 de la Política de Privacidad.

Anexo II — Medidas técnicas y organizativas (art. 32 RGPD)

Aplican íntegramente las medidas listadas en el apartado 12 de la Política de Privacidad, así como:

  • Confidencialidad: control de acceso por roles, autenticación reforzada, cifrado en reposo y en tránsito.
  • Integridad: registros de auditoría inmutables, detección de modificaciones no autorizadas, backups periódicos.
  • Disponibilidad: redundancia de infraestructura, plan de recuperación ante desastres con RPO < 24 h y RTO < 8 h.
  • Resiliencia: pruebas regulares de los procedimientos de respuesta a incidentes.
  • Seudonimización y minimización: aplicación del principio de mínimo dato necesario para cada finalidad.
  • Formación: sensibilización del personal con acceso a datos personales.

Anexo III — Subencargados autorizados

La lista actualizada de subencargados se publica en el apartado 7 de la Política de Privacidad, formando parte integrante del presente DPA. Cualquier modificación se notificará conforme al apartado 6 del DPA.

Procedimiento de aceptación del DPA

Para clientes B2B que requieran formalización del DPA, escribir a legal@cestwise.com indicando razón social, NIF, datos del firmante y domicilio. El Encargado remitirá el DPA preformateado en PDF firmable electrónicamente mediante eIDAS-compliant signature en un plazo razonable.

Versión 1.0 · Última actualización: 2 de mayo de 2026.