DOCUMENTO LEGAL · v1.1 · 2026-05-25
Acuerdo de Encargo de Tratamiento (DPA)
Este Acuerdo regula la relación entre el Cliente (la empresa transportista que contrata Recua, en adelante el Responsable) y Jose Miguel Casas Pagan (en adelante el Encargado), respecto al tratamiento de datos personales que el Encargado realiza por cuenta del Responsable al prestar el servicio Recua.
Este Acuerdo se incorpora por referencia a los Términos y Condiciones y se acepta de forma electrónica al darse de alta en el servicio. Cumple con lo establecido en el artículo 28 RGPD.
1. Objeto del tratamiento
El Encargado tratará datos personales por cuenta del Responsable con la única finalidad de prestar el servicio Recua contratado: almacenar, procesar y poner a disposición la información necesaria para gestionar cartas de porte, conductores, vehículos, clientes y documentación asociada.
2. Categorías de datos tratados
- Conductores: nombre, DNI/NIE (opcional), email, teléfono, fecha de caducidad de carnet, CAP, ADR y tarjeta de tacógrafo, fotografía si la sube el responsable.
- Clientes finales (cargador/destinatario): nombre o razón social, CIF/NIF, dirección, email, teléfono, persona de contacto.
- Datos de los portes: origen, destino, mercancía, firmas electrónicas (canvas), fotografías de carga, entrega e incidencias.
- Geolocalización GPS continua del conductor: latitud, longitud, velocidad, rumbo y timestamp capturados por la app móvil del conductor mientras el porte está en estado cargando, en tránsito o descargando, aproximadamente cada 60 segundos. El conductor recibe aviso expreso en la app antes de la primera captura. Conservación: 90 días.
- Colaboradores subcontratados: nombre, CIF, contacto.
- Datos de facturación al cliente: según corresponda.
3. Categorías de interesados
- Empleados (conductores) del Responsable
- Clientes finales del Responsable y sus personas de contacto
- Firmantes de documentos de transporte (cargadores, destinatarios)
- Colaboradores externos contratados por el Responsable
4. Duración
Este Acuerdo permanecerá vigente mientras dure la relación contractual principal entre Cliente y Encargado, y por el tiempo necesario para cumplir las obligaciones legales de conservación.
5. Obligaciones del Encargado
El Encargado se compromete a:
- Tratar los datos personales únicamente conforme a las instrucciones documentadas del Responsable, incluidas las relativas a transferencias internacionales, salvo obligación legal en contrario.
- Garantizar que las personas autorizadas para tratar los datos se comprometen a respetar la confidencialidad.
- Implantar las medidas técnicas y organizativas apropiadas que aseguren un nivel de seguridad adecuado al riesgo (art. 32 RGPD), en particular las descritas en el Anexo I.
- Asistir al Responsable, en la medida posible, para que pueda atender las solicitudes de ejercicio de derechos de los interesados.
- Asistir al Responsable en el cumplimiento de las obligaciones de los arts. 32 a 36 RGPD (seguridad, brechas, evaluaciones de impacto, consulta previa).
- Notificar al Responsable cualquier brecha de seguridad de la que tenga conocimiento, sin dilación indebida y en cualquier caso en un plazo razonable que permita al Responsable cumplir con su deber de notificación a la AEPD en 72 horas.
- Una vez finalizado el servicio, devolver o suprimir los datos personales (a elección del Responsable), salvo los que deba conservar por imperativo legal.
- Poner a disposición del Responsable la información necesaria para demostrar el cumplimiento de las obligaciones de este Acuerdo y permitir auditorías razonables.
6. Subencargados
El Responsable autoriza al Encargado a contratar subencargados para la prestación del servicio. Los subencargados actuales se enumeran en la Política de Privacidad, sección «Destinatarios y subprocesadores».
El Encargado informará al Responsable de cualquier cambio sustancial en la lista de subencargados con un preaviso razonable, ofreciéndole la posibilidad de oponerse. En caso de oposición fundada, el Encargado ofrecerá una alternativa o, si no es viable, cualquiera de las partes podrá resolver el contrato sin penalización.
Cualquier subencargado quedará sujeto a las mismas obligaciones de protección de datos que el Encargado, mediante contrato escrito.
7. Transferencias internacionales
Algunos subencargados están establecidos fuera del Espacio Económico Europeo. En esos casos, el Encargado garantizará que toda transferencia se base en una decisión de adecuación, en cláusulas contractuales tipo aprobadas por la Comisión, en el EU-US Data Privacy Framework o en otro mecanismo válido conforme a los arts. 44-49 RGPD.
8. Asistencia y derechos de los interesados
Si el Encargado recibe directamente una solicitud de un interesado (cargador, destinatario, conductor) ejerciendo sus derechos sobre datos del Responsable, la trasladará al Responsable a la mayor brevedad y le asistirá técnicamente para responder dentro del plazo legal.
9. Responsabilidad
Cada parte responderá frente a la otra por los daños y perjuicios que cause como consecuencia del incumplimiento de las obligaciones que este Acuerdo le impone. Los límites de responsabilidad acordados en los Términos y Condiciones se aplican también a este Acuerdo, salvo en la medida en que la normativa imperativa establezca otra cosa.
10. Modificación
Este Acuerdo podrá modificarse para adaptarlo a cambios normativos, técnicos u operativos. Los cambios sustanciales se notificarán con un preaviso razonable. La continuación del uso del servicio implicará la aceptación.
Anexo I — Medidas técnicas y organizativas
Las medidas concretas se actualizan periódicamente. La versión vigente está disponible solicitándola a privacidad@recua.app.
Confidencialidad
- Acceso a producción restringido a personas autorizadas
- Autenticación con contraseñas robustas (bcrypt) y, en evolución, doble factor
- Compromiso de confidencialidad del personal y proveedores
Integridad y disponibilidad
- Cifrado en tránsito (TLS 1.2+) y en reposo
- Aislamiento por inquilino (Row Level Security en Postgres)
- Backups automáticos del proveedor de base de datos
- Monitorización de errores y disponibilidad
Resiliencia
- Capacidad de restaurar datos a partir de backups
- Procedimiento de respuesta ante brechas con notificación al Responsable
Verificación
- Revisiones periódicas de la efectividad de las medidas
- Plan de auditoría externa (pentesting) previsto en hoja de ruta
Anexo II — Subencargados
| Proveedor | Servicio | Ubicación principal | Garantía transferencia |
|---|---|---|---|
| Supabase, Inc. | BBDD, autenticación, almacenamiento | UE (Frankfurt) | N/A — UE |
| Vercel, Inc. | Hosting de la aplicación | UE + edge global | EU-US DPF |
| Resend, Inc. | Emails transaccionales | EE.UU. | EU-US DPF |
| Anthropic, PBC | OCR opcional (solo cuando el responsable lo activa) | EE.UU. | EU-US DPF / sin uso para entrenamiento |
| Google LLC (FCM) | Notificaciones push | EE.UU. | EU-US DPF |
| Stripe Payments Europe | Cobros de suscripción | Irlanda (UE) | N/A — UE |
| Sentry, Inc. | Telemetría de errores con filtrado previo de tokens, PIN y firmas | EE.UU. | EU-US DPF |
| Cloudflare, Inc. | DNS, CDN y túnel a Valhalla autohospedado | Global | EU-US DPF |