Fecha última modificación: abril 2026.
El presente contrato regula el Contrato de Encargado del Tratamiento (en adelante el “Contrato de Encargo” y/o “Contrato”) que forma parte de los Términos y Condiciones de Contratación (en adelante “T&C”) entre CRUASAN SOFTWARE SL, con NIF B25871401 y domicilio en Calle Diego de León, nº 5, Puerta D, 28006 Madrid (en adelante “CRUASÁN”) y el CLIENTE por la suscripción de cualquier Plan así como el periodo de prueba gratuito que CRUASÁN pone a disposición del CLIENTE.
De conformidad con los T&C, CRUASÁN presta servicios para la gestión empresarial, organización administrativa, control y gestión económica, así como la gestión, emisión y almacenamiento de facturas basados en la nube a sus clientes. En materia de protección de datos, CRUASÁN asumirá el rol de ENCARGADO DEL TRATAMIENTO tal y como se describe en el presente Contrato y el CLIENTE asumirá el rol de RESPONSABLE DEL TRATAMIENTO.
Nota importante: para cualquier consulta relativa a protección de datos o al presente Contrato de Encargado del Tratamiento, puede contactar con gdpr@cruasan.com.
1. Alcance y finalidad
Con el fin de regular el tratamiento de los datos personales objeto del presente Contrato de Encargado y sustituyendo cualquier cláusula anterior relativa a esta materia, ambas Partes acuerdan el otorgamiento del presente Anexo, que se regirá por el GDPR del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (en adelante, “GDPR”), la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Digitales y Garantía de los Derechos Digitales (en adelante, “LOPDGDD”), su normativa de desarrollo y, en particular, por lo siguiente.
2. Definiciones
Las definiciones que pueden encontrarse a lo largo de este Contrato tendrán el significado de conformidad con las disposiciones del artículo 4 del GDPR.
Las funciones, deberes y obligaciones respectivas del Responsable del Tratamiento así como del Encargado del Tratamiento se definen en el presente Anexo.
En el Apéndice I se identifican las Partes según los roles asumidos en materia de protección de datos.
3. Descripción del tratamiento de datos
Los detalles de los tratamientos de los datos personales, en particular las categorías de datos personales y los fines del tratamiento para los que se tratan los datos personales por cuenta del Encargado del Tratamiento, se especifican en el Apéndice II.
4. Obligaciones de las Partes
4.1. Instrucciones
4.2. Limitación de la finalidad
El Encargado del Tratamiento sólo tratará los datos personales para la finalidad o finalidades específicas en el presente Anexo, salvo que reciba otras instrucciones documentadas del Responsable del Tratamiento a lo largo de la relación contractual.
Las posibles instrucciones documentadas por parte del Responsable del Tratamiento no podrán desviarse del objeto del servicio prestado por el Encargado del Tratamiento, de conformidad con los T&C.
4.3. Duración del tratamiento de los datos personales
El tratamiento por parte del Encargado del Tratamiento sólo tendrá lugar durante la duración especificada en el Apéndice II.
4.4. Seguridad del tratamiento
El Encargado del Tratamiento aplicará, como mínimo, las medidas técnicas y organizativas especificadas en el Apéndice III para garantizar la seguridad de los datos personales. Esto incluye la protección de los datos contra una violación de la seguridad que provoque su destrucción accidental o ilícita, su pérdida, su alteración, su divulgación no autorizada o el acceso a los mismos (violación de los datos personales). Al evaluar el nivel adecuado de seguridad, las Partes tendrán debidamente en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos que entraña para los interesados.
El Encargado del Tratamiento concederá acceso a los datos personales objeto de tratamiento a los miembros de su personal únicamente en la medida estrictamente necesaria para la ejecución, gestión y seguimiento del contrato. El Encargado del Tratamiento se asegurará de que las personas autorizadas a tratar los datos personales recibidos se hayan comprometido a mantener la confidencialidad o estén sometidas a una obligación legal adecuada de confidencialidad.
4.5. Datos sensibles
En caso de que el tratamiento incluya categorías especiales de datos conforme al art. 9 RGPD, el Responsable deberá informar al Encargado. No obstante, el Encargado adoptará en todo caso las medidas técnicas y organizativas adecuadas al nivel de riesgo, y podrá requerir información adicional para garantizar el cumplimiento del RGPD.
4.6. Documentación y cumplimiento
Las Partes deberán poder demostrar el cumplimiento de estas Cláusulas.
El Encargado del Tratamiento atenderá rápida y adecuadamente las consultas del Responsable del Tratamiento sobre el tratamiento de los datos de conformidad con las presentes cláusulas.
El Encargado del Tratamiento pondrá a disposición del Responsable del Tratamiento toda la información necesaria para demostrar el cumplimiento de las obligaciones que se establecen en las presentes cláusulas y que se derivan directamente del GDPR. A petición del Responsable, el Encargado del Tratamiento también permitirá y contribuirá a las auditorías de las actividades de tratamiento cubiertas por las presentes cláusulas, a intervalos razonables o si hay indicios de incumplimiento. Al decidir sobre una revisión o una auditoría, el Responsable del Tratamiento podrá tener en cuenta las certificaciones pertinentes que posea el Encargado.
El Responsable del Tratamiento tendrá derecho a realizar auditorías al Encargado, bajo los preceptos del artículo 28 RGPD, afrontando su posible coste. La posible auditoría se deberá realizar por vía telemática o mediante alguna solución tecnológica compatible y, además, se llevarán a cabo con una antelación razonable, siempre que ésta sea avisada con 15 días laborables de antelación y dentro del horario laboral del Encargado del Tratamiento. Las auditorías deberán estar supervisadas por algún empleado de CRUASAN y se deberá respetar datos confidenciales que no guarden relación alguna con la auditoría objeto de realización, además de la firma de un contrato de confidencialidad.
Las Partes pondrán la información mencionada en la presente cláusula, incluidos los resultados de cualquier auditoría, a disposición de la(s) autoridad(es) de control competente(s) que lo solicite.
4.7. Uso de subencargados
Autorización general por escrito: el Encargado del Tratamiento cuenta con la autorización general del Responsable del Tratamiento para la contratación de subencargados, los cuales están listados en el Apéndice IV.
El Encargado del Tratamiento informará específicamente por escrito al Responsable del Tratamiento de cualquier cambio previsto en dicha lista mediante la adición o sustitución de subencargados con 30 días de antelación, dando así al Responsable del Tratamiento tiempo suficiente para poder oponerse a dichos cambios antes de la contratación del subencargado o subencargados en cuestión. El Encargado del Tratamiento facilitará al Responsable del Tratamiento la información necesaria para que éste pueda ejercer su derecho de oposición.
A petición del Responsable del Tratamiento, el Encargado del Tratamiento proporcionará al Responsable del Tratamiento una copia del Contrato de Encargado con el subencargado y de cualquier modificación posterior. En la medida necesaria para proteger el secreto comercial u otra información confidencial, incluidos los datos personales, el Encargado del Tratamiento podrá redactar el texto o eliminar aquella información confidencial del contrato antes de compartir la copia.
El Encargado del Tratamiento seguirá siendo plenamente responsable ante el Responsable del Tratamiento del cumplimiento de las obligaciones del subencargado de conformidad con su contrato de encargo con éste. El Encargado del Tratamiento notificará al Responsable del Tratamiento cualquier incumplimiento de sus obligaciones contractuales por parte del subencargado.
El Encargado del Tratamiento acordará con el subencargado una cláusula de tercero beneficiario por la que —en caso de que el Encargado haya desaparecido de hecho, haya dejado de existir jurídicamente o se haya declarado insolvente— el Responsable del Tratamiento tendrá derecho a rescindir el contrato de subencargo y a ordenar al subencargado la eliminación o la devolución de los datos personales que están bajo la responsabilidad del Responsable del Tratamiento.
4.8. Transferencias internacionales
Toda transferencia de datos a un tercer país o a una organización internacional por parte del Encargado del Tratamiento se realizará únicamente sobre la base de los servicios prestados al Responsable del Tratamiento (el cuál ha aceptado mediante los T&C) o para cumplir un requisito específico en virtud de la legislación de la Unión o de los Estados miembros a la que esté sujeto el Encargado del Tratamiento y tendrá lugar de conformidad con el capítulo V del GDPR.
El Responsable del Tratamiento acepta que, cuando el Encargado del Tratamiento contrate a un subencargado de conformidad con la cláusula 4.7. para llevar a cabo actividades de tratamiento específicas (por cuenta del Responsable del Tratamiento) y dichas actividades de tratamiento impliquen una transferencia de datos personales en el sentido del capítulo V del GDPR, el Encargado y el subencargado del tratamiento pueden garantizar el cumplimiento del capítulo V del GDPR mediante el uso de cláusulas contractuales tipo adoptadas por la Comisión de conformidad con el artículo 46, apartado 2, del GDPR, siempre que se cumplan las condiciones para el uso de dichas cláusulas contractuales tipo.
5. Asistencia al Responsable del Tratamiento
El Encargado del Tratamiento notificará sin demora al Responsable del Tratamiento cualquier solicitud que haya recibido del propio interesado. No obstante, el Encargado del Tratamiento no tendrá la obligación de responder a la solicitud por sí mismo, sino que deberá ser el Responsable del Tratamiento.
El Encargado del Tratamiento asistirá al Responsable del Tratamiento en el cumplimiento de sus obligaciones de responder a las solicitudes de los interesados de ejercer sus derechos, teniendo en cuenta la naturaleza del tratamiento. En el cumplimiento de sus obligaciones el Encargado del Tratamiento cumplirá las instrucciones del Responsable del Tratamiento.
Además de la obligación del Encargado del Tratamiento de asistir al Responsable del Tratamiento, el Encargado del Tratamiento deberá además asistir al Responsable del Tratamiento para garantizar el cumplimiento de las siguientes obligaciones, teniendo en cuenta la naturaleza del tratamiento de datos y la información de que dispone el encargado:
Las Partes establecerán en el Apéndice III las medidas técnicas y organizativas apropiadas por las que el Encargado del Tratamiento deberá asistir al Responsable del Tratamiento en la aplicación de la presente cláusula, así como el alcance y la extensión de la asistencia requerida.
6. Notificación de la violación de datos personales
En caso de violación de los datos personales, el Encargado del Tratamiento cooperará con el Responsable del Tratamiento y le prestará asistencia para que este cumpla sus obligaciones en virtud de los artículos 33 y 34 del GDPR, cuando proceda, teniendo en cuenta la naturaleza del tratamiento y la información de que dispone el encargado.
6.1. Violación de datos relativa a los datos tratados por el Encargado del Tratamiento
En el caso de que el Encargado del Tratamiento tenga conocimiento y verifique cualquier destrucción, pérdida, alteración, divulgación o acceso accidental, no autorizado o ilícito a los Datos Personales del Responsable (“Vulneración de la Seguridad”), el Encargado deberá notificar al Responsable del Tratamiento las circunstancias generadas sin dilación indebida y, en todo caso, en un plazo que no excederá de 72 horas desde el conocimiento efectivo de las mismas.
Dicha notificación deberá contener, como mínimo:
Cuando, y en la medida en que no sea posible proporcionar toda esta información al mismo tiempo, la notificación inicial contendrá la información disponible en ese momento y, posteriormente, se proporcionará la información adicional, a medida que esté disponible, sin demoras indebidas.
Las Partes establecerán en el Apéndice III todos los demás elementos que debe proporcionar el Encargado del Tratamiento cuando asista al Responsable del Tratamiento en el cumplimiento de las obligaciones de éste en virtud de los artículos 33 y 34 del GDPR.
7. Retorno, conservación y eliminación de datos personales
CRUASAN pondrá a disposición del CLIENTE un plazo de quince (15) días naturales desde la finalización efectiva del servicio para que éste pueda acceder a la Plataforma y descargar toda la información almacenada y gestionada en la misma.
La descarga de los datos se realizará mediante las funcionalidades estándar de la plataforma, no estando CRUASAN obligado a facilitar formatos distintos ni a realizar desarrollos específicos para la extracción o migración de la información.
Transcurrido dicho plazo, CRUASAN procederá al bloqueo de los datos del CLIENTE por el tiempo necesario para cumplir con las obligaciones legales aplicables. Finalizado dicho periodo de conservación, los datos serán eliminados de forma definitiva.
8. Rescisión y finalización del servicio
Sin perjuicio de lo dispuesto en el GDPR, en caso de que el Encargado del Tratamiento incumpla las obligaciones que le incumben en virtud de las presentes Cláusulas, el Responsable del Tratamiento podrá ordenar al Encargado que suspenda el tratamiento de los datos personales hasta que este cumpla las presentes Cláusulas o se resuelva el contrato. El Encargado del Tratamiento informará sin demora al Responsable del Tratamiento en caso de que no pueda cumplir las presentes cláusulas, sea cual sea el motivo.
El Responsable del Tratamiento tendrá derecho a rescindir el contrato en lo que respecta al tratamiento de datos personales con arreglo a las presentes cláusulas si: (a) el Encargado del Tratamiento incumple de forma sustancial o persistente las presentes Cláusulas o sus obligaciones en virtud del GDPR, y (b) el Encargado del Tratamiento incumple una decisión vinculante de un tribunal competente o de la(s) autoridad(es) de control competente(s) en relación con sus obligaciones en virtud de las presentes cláusulas o del GDPR.
El Encargado del Tratamiento tendrá derecho a rescindir el contrato en lo que respecta al tratamiento de datos personales con arreglo a las presentes cláusulas cuando, tras haber informado al Responsable del Tratamiento de que sus instrucciones infringen los requisitos legales aplicables de conformidad con la cláusula 4.1.2., el Responsable del Tratamiento insista en el cumplimiento de las instrucciones.
Tras la terminación del contrato, el Encargado del Tratamiento da la opción al Responsable del Tratamiento, de acceder a la plataforma y proceder a la descarga de toda la información relacionada con el servicio prestado así como de datos personales. Después del periodo determinado en la cláusula 7 del presente Contrato, el Encargado del Tratamiento procederá al bloqueo de los datos por un periodo no superior a un año por motivos legales y/o posibles cuestiones judiciales. Y posteriormente a dicho periodo, se procederá a suprimir todos los datos personales tratados por cuenta del Responsable del Tratamiento, a menos que el Derecho de la Unión o de los Estados miembros exija la conservación de los datos personales. Hasta que se eliminen o devuelvan los datos, el Encargado del Tratamiento seguirá garantizando el cumplimiento de estas cláusulas.
Responsable(s) del tratamiento
Encargado(s) del tratamiento
1. Descripción del tratamiento
El Encargado del Tratamiento llevará a cabo el tratamiento de datos personales necesario para la prestación de los siguientes servicios a través de la plataforma Cruasán Software:
2. Categorías
Categorías de interesados cuyos datos personales se tratan:
Categorías de datos personales tratados: indicados en el punto 3.
3. Recogida de datos personales y su tratamiento
A continuación, se indican los datos personales que podemos tratar en nuestra plataforma en el marco de la prestación de los servicios:
| Categoría de interesados | Datos personales y/o categoría de datos personales |
|---|---|
| Personas físicas a las que se emiten facturas (clientes particulares) |
Identificativos y personales: nombre y apellidos, NIF/DNI, dirección, correo
electrónico, teléfono. Datos fiscales y contables: datos de facturación. Datos económicos y financieros: cuenta bancaria, forma y condiciones de pago. |
| Autónomos y profesionales independientes (proveedores del responsable que actúan con su NIF/DNI) |
Identificativos y personales: nombre y apellidos, NIF/DNI, dirección, correo
electrónico, teléfono. Datos fiscales y contables: datos de facturación. Datos económicos y financieros: cuenta bancaria, forma y condiciones de pago. |
| Empleados del Responsable |
Identificativos y personales: nombre y apellidos, DNI, cargo, correo
electrónico. Características laborales: puesto/cargo, categoría o grupo profesional, departamento. Datos económicos y financieros: cuenta bancaria, nóminas, gastos. |
| Usuarios del software |
Datos de acceso y autenticación: dirección de correo electrónico,
usuario, contraseña cifrada, IP de acceso. Datos de actividad: registros de uso de la Plataforma. |
4. Naturaleza del tratamiento
Recopilación, recolección, registro, almacenamiento, consulta, utilización, recuperación, restricción y supresión.
5. Finalidad(es) para la que se tratan los datos personales por cuenta del Responsable del Tratamiento
Suministro de servicios acordados en los T&C.
6. Duración del tratamiento
La duración de este Contrato está vinculada a la duración establecida por las partes en los T&C.
1. Confidencialidad (art. 32 párrafo 1 lit. b RGPD)
a) Control de acceso
Las siguientes medidas pretenden evitar que personas no autorizadas accedan a nuestros sistemas de procesamiento de datos.
b) Control de acceso
Hemos tomado las siguientes medidas para garantizar que las personas no autorizadas no tengan acceso a los datos personales tratados por nosotros.
c) Control de separación
Las siguientes medidas garantizan que los datos personales recogidos para diferentes fines se traten por separado.
2. Integridad (art. 32 párrafo 1 lit. b RGPD)
a) Control de las transferencias
Se garantiza que los datos personales no puedan ser leídos, copiados, modificados o eliminados sin autorización durante su transmisión o almacenamiento en los soportes de datos y que se pueda comprobar qué personas u organismos han recibido datos personales. Se han aplicado las siguientes medidas para garantizarlo:
b) Control de entrada
Las siguientes medidas garantizan la posibilidad de comprobar quién ha tratado los datos personales en los sistemas de tratamiento de datos y en qué momento.
3. Disponibilidad y capacidad (art. 32 párrafo 1 lit. b RGPD)
Control de disponibilidad y control de capacidad
Las siguientes medidas garantizan que los datos personales estén protegidos contra la destrucción o pérdida accidental y estén siempre a disposición del cliente.
4. Procedimiento de revisión, apreciación y evaluación periódicas (art. 32(1)(d) RGPD; art. 25(1) RGPD)
a) Gestión de la protección de datos
Las siguientes medidas pretenden garantizar una organización que cumpla los requisitos básicos de protección de datos:
b) Gestión de la respuesta a incidentes
Las siguientes medidas están diseñadas para garantizar la activación de los procesos de notificación en caso de violaciones de la protección de datos:
c) Control de servicios
Las siguientes medidas garantizan que los datos personales sólo pueden ser tratados de acuerdo con las instrucciones.
| Proveedor | Servicios contratados | Datos comunicados | Interesados | Activo | Ubicación | RGPD compliance | Base de legitimación | Comentarios |
|---|---|---|---|---|---|---|---|---|
| AWS | Hosting de la Plataforma cuya finalidad es almacenar todos los datos que se encuentran en la plataforma Cruasan. | Datos identificativos. Datos laborales. Datos económicos. | Empleados del Cliente. Administrador (Cliente). | Sí | Irlanda | Sí | Contrato Encargado de Tratamiento + Cláusulas Contractuales Tipo. | El Contrato de Encargado (DPA) es aceptado cuando Cruasan firma los términos y condiciones de contratación de los servicios de hosting: AWS Data Processing Addendum (DPA). A pesar de que los datos estén ubicados en Irlanda, AWS Irlanda puede realizar transferencias internacionales indirectas a la matriz, ubicada en Estados Unidos. Se ha realizado una Evaluación de Impacto de la Posible Transferencia (DTIA), de la que se concluye que la potencial transferencia internacional se puede llevar a cabo dado que no supone un alto riesgo para los interesados. |
Fecha última versión: marzo 2026.
Y para que así conste a todos los efectos legales oportunos, el presente documento regula el contrato de encargo de tratamiento en el marco de la relación contractual.
Este documento constituye el contrato de encargo de tratamiento. La aceptación por parte del CLIENTE se realiza de forma electrónica mediante la aceptación de los Términos y Condiciones y del DPA en la plataforma.
Por Cruasan Software S.L.
Dña. Blanca Cabanas
Aviso legal · Condiciones de uso · Contrato de encargado del tratamiento · Declaración responsable · Política de cookies