Cruasan logo

Tu negocio al día antes del desayuno

Contrato de encargado del tratamiento de clientes

Fecha última modificación: abril 2026.

Introducción

El presente contrato regula el Contrato de Encargado del Tratamiento (en adelante el “Contrato de Encargo” y/o “Contrato”) que forma parte de los Términos y Condiciones de Contratación (en adelante “T&C”) entre CRUASAN SOFTWARE SL, con NIF B25871401 y domicilio en Calle Diego de León, nº 5, Puerta D, 28006 Madrid (en adelante “CRUASÁN”) y el CLIENTE por la suscripción de cualquier Plan así como el periodo de prueba gratuito que CRUASÁN pone a disposición del CLIENTE.

De conformidad con los T&C, CRUASÁN presta servicios para la gestión empresarial, organización administrativa, control y gestión económica, así como la gestión, emisión y almacenamiento de facturas basados en la nube a sus clientes. En materia de protección de datos, CRUASÁN asumirá el rol de ENCARGADO DEL TRATAMIENTO tal y como se describe en el presente Contrato y el CLIENTE asumirá el rol de RESPONSABLE DEL TRATAMIENTO.

Nota importante: para cualquier consulta relativa a protección de datos o al presente Contrato de Encargado del Tratamiento, puede contactar con gdpr@cruasan.com.

Sección I — Visión general

1. Alcance y finalidad

Con el fin de regular el tratamiento de los datos personales objeto del presente Contrato de Encargado y sustituyendo cualquier cláusula anterior relativa a esta materia, ambas Partes acuerdan el otorgamiento del presente Anexo, que se regirá por el GDPR del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (en adelante, “GDPR”), la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Digitales y Garantía de los Derechos Digitales (en adelante, “LOPDGDD”), su normativa de desarrollo y, en particular, por lo siguiente.

2. Definiciones

Las definiciones que pueden encontrarse a lo largo de este Contrato tendrán el significado de conformidad con las disposiciones del artículo 4 del GDPR.

Las funciones, deberes y obligaciones respectivas del Responsable del Tratamiento así como del Encargado del Tratamiento se definen en el presente Anexo.

En el Apéndice I se identifican las Partes según los roles asumidos en materia de protección de datos.

Sección II — Obligaciones de las partes

3. Descripción del tratamiento de datos

Los detalles de los tratamientos de los datos personales, en particular las categorías de datos personales y los fines del tratamiento para los que se tratan los datos personales por cuenta del Encargado del Tratamiento, se especifican en el Apéndice II.

4. Obligaciones de las Partes

4.1. Instrucciones

  1. El Encargado del Tratamiento sólo tratará los datos personales siguiendo las instrucciones documentadas por parte del Responsable del Tratamiento, a menos que así lo exija el Derecho de la Unión o de los Estados miembros al que esté sujeto el propio Encargado del Tratamiento. En este caso, el Encargado del Tratamiento informará al Responsable del Tratamiento de dicho requisito legal antes del tratamiento, a menos que la ley lo prohíba por motivos importantes de interés público. El Responsable del Tratamiento también podrá dar instrucciones posteriores mientras dure el tratamiento de los datos personales. Estas instrucciones deberán estar siempre documentadas.
  2. El Encargado del Tratamiento informará inmediatamente al Responsable del Tratamiento si, a su juicio, las instrucciones dadas por el Responsable del Tratamiento infringen el GDPR o las disposiciones de protección de datos de la Unión o de los Estados miembros aplicables.

4.2. Limitación de la finalidad

El Encargado del Tratamiento sólo tratará los datos personales para la finalidad o finalidades específicas en el presente Anexo, salvo que reciba otras instrucciones documentadas del Responsable del Tratamiento a lo largo de la relación contractual.

Las posibles instrucciones documentadas por parte del Responsable del Tratamiento no podrán desviarse del objeto del servicio prestado por el Encargado del Tratamiento, de conformidad con los T&C.

4.3. Duración del tratamiento de los datos personales

El tratamiento por parte del Encargado del Tratamiento sólo tendrá lugar durante la duración especificada en el Apéndice II.

4.4. Seguridad del tratamiento

El Encargado del Tratamiento aplicará, como mínimo, las medidas técnicas y organizativas especificadas en el Apéndice III para garantizar la seguridad de los datos personales. Esto incluye la protección de los datos contra una violación de la seguridad que provoque su destrucción accidental o ilícita, su pérdida, su alteración, su divulgación no autorizada o el acceso a los mismos (violación de los datos personales). Al evaluar el nivel adecuado de seguridad, las Partes tendrán debidamente en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos que entraña para los interesados.

El Encargado del Tratamiento concederá acceso a los datos personales objeto de tratamiento a los miembros de su personal únicamente en la medida estrictamente necesaria para la ejecución, gestión y seguimiento del contrato. El Encargado del Tratamiento se asegurará de que las personas autorizadas a tratar los datos personales recibidos se hayan comprometido a mantener la confidencialidad o estén sometidas a una obligación legal adecuada de confidencialidad.

4.5. Datos sensibles

En caso de que el tratamiento incluya categorías especiales de datos conforme al art. 9 RGPD, el Responsable deberá informar al Encargado. No obstante, el Encargado adoptará en todo caso las medidas técnicas y organizativas adecuadas al nivel de riesgo, y podrá requerir información adicional para garantizar el cumplimiento del RGPD.

4.6. Documentación y cumplimiento

Las Partes deberán poder demostrar el cumplimiento de estas Cláusulas.

El Encargado del Tratamiento atenderá rápida y adecuadamente las consultas del Responsable del Tratamiento sobre el tratamiento de los datos de conformidad con las presentes cláusulas.

El Encargado del Tratamiento pondrá a disposición del Responsable del Tratamiento toda la información necesaria para demostrar el cumplimiento de las obligaciones que se establecen en las presentes cláusulas y que se derivan directamente del GDPR. A petición del Responsable, el Encargado del Tratamiento también permitirá y contribuirá a las auditorías de las actividades de tratamiento cubiertas por las presentes cláusulas, a intervalos razonables o si hay indicios de incumplimiento. Al decidir sobre una revisión o una auditoría, el Responsable del Tratamiento podrá tener en cuenta las certificaciones pertinentes que posea el Encargado.

El Responsable del Tratamiento tendrá derecho a realizar auditorías al Encargado, bajo los preceptos del artículo 28 RGPD, afrontando su posible coste. La posible auditoría se deberá realizar por vía telemática o mediante alguna solución tecnológica compatible y, además, se llevarán a cabo con una antelación razonable, siempre que ésta sea avisada con 15 días laborables de antelación y dentro del horario laboral del Encargado del Tratamiento. Las auditorías deberán estar supervisadas por algún empleado de CRUASAN y se deberá respetar datos confidenciales que no guarden relación alguna con la auditoría objeto de realización, además de la firma de un contrato de confidencialidad.

Las Partes pondrán la información mencionada en la presente cláusula, incluidos los resultados de cualquier auditoría, a disposición de la(s) autoridad(es) de control competente(s) que lo solicite.

4.7. Uso de subencargados

Autorización general por escrito: el Encargado del Tratamiento cuenta con la autorización general del Responsable del Tratamiento para la contratación de subencargados, los cuales están listados en el Apéndice IV.

El Encargado del Tratamiento informará específicamente por escrito al Responsable del Tratamiento de cualquier cambio previsto en dicha lista mediante la adición o sustitución de subencargados con 30 días de antelación, dando así al Responsable del Tratamiento tiempo suficiente para poder oponerse a dichos cambios antes de la contratación del subencargado o subencargados en cuestión. El Encargado del Tratamiento facilitará al Responsable del Tratamiento la información necesaria para que éste pueda ejercer su derecho de oposición.

A petición del Responsable del Tratamiento, el Encargado del Tratamiento proporcionará al Responsable del Tratamiento una copia del Contrato de Encargado con el subencargado y de cualquier modificación posterior. En la medida necesaria para proteger el secreto comercial u otra información confidencial, incluidos los datos personales, el Encargado del Tratamiento podrá redactar el texto o eliminar aquella información confidencial del contrato antes de compartir la copia.

El Encargado del Tratamiento seguirá siendo plenamente responsable ante el Responsable del Tratamiento del cumplimiento de las obligaciones del subencargado de conformidad con su contrato de encargo con éste. El Encargado del Tratamiento notificará al Responsable del Tratamiento cualquier incumplimiento de sus obligaciones contractuales por parte del subencargado.

El Encargado del Tratamiento acordará con el subencargado una cláusula de tercero beneficiario por la que —en caso de que el Encargado haya desaparecido de hecho, haya dejado de existir jurídicamente o se haya declarado insolvente— el Responsable del Tratamiento tendrá derecho a rescindir el contrato de subencargo y a ordenar al subencargado la eliminación o la devolución de los datos personales que están bajo la responsabilidad del Responsable del Tratamiento.

4.8. Transferencias internacionales

Toda transferencia de datos a un tercer país o a una organización internacional por parte del Encargado del Tratamiento se realizará únicamente sobre la base de los servicios prestados al Responsable del Tratamiento (el cuál ha aceptado mediante los T&C) o para cumplir un requisito específico en virtud de la legislación de la Unión o de los Estados miembros a la que esté sujeto el Encargado del Tratamiento y tendrá lugar de conformidad con el capítulo V del GDPR.

El Responsable del Tratamiento acepta que, cuando el Encargado del Tratamiento contrate a un subencargado de conformidad con la cláusula 4.7. para llevar a cabo actividades de tratamiento específicas (por cuenta del Responsable del Tratamiento) y dichas actividades de tratamiento impliquen una transferencia de datos personales en el sentido del capítulo V del GDPR, el Encargado y el subencargado del tratamiento pueden garantizar el cumplimiento del capítulo V del GDPR mediante el uso de cláusulas contractuales tipo adoptadas por la Comisión de conformidad con el artículo 46, apartado 2, del GDPR, siempre que se cumplan las condiciones para el uso de dichas cláusulas contractuales tipo.

5. Asistencia al Responsable del Tratamiento

El Encargado del Tratamiento notificará sin demora al Responsable del Tratamiento cualquier solicitud que haya recibido del propio interesado. No obstante, el Encargado del Tratamiento no tendrá la obligación de responder a la solicitud por sí mismo, sino que deberá ser el Responsable del Tratamiento.

El Encargado del Tratamiento asistirá al Responsable del Tratamiento en el cumplimiento de sus obligaciones de responder a las solicitudes de los interesados de ejercer sus derechos, teniendo en cuenta la naturaleza del tratamiento. En el cumplimiento de sus obligaciones el Encargado del Tratamiento cumplirá las instrucciones del Responsable del Tratamiento.

Además de la obligación del Encargado del Tratamiento de asistir al Responsable del Tratamiento, el Encargado del Tratamiento deberá además asistir al Responsable del Tratamiento para garantizar el cumplimiento de las siguientes obligaciones, teniendo en cuenta la naturaleza del tratamiento de datos y la información de que dispone el encargado:

  • La obligación de realizar una evaluación del impacto de las operaciones de tratamiento previstas sobre la protección de los datos personales (una “Evaluación de Impacto sobre la Protección de Datos”) cuando un tipo de tratamiento pueda suponer un alto riesgo para los derechos y libertades de las personas físicas.
  • La obligación de consultar a la(s) autoridad(es) de control competente(s) antes del tratamiento cuando una Evaluación de Impacto sobre la Protección de Datos indique que el tratamiento supondría un alto riesgo en ausencia de medidas adoptadas por el Responsable del Tratamiento para mitigarlo.
  • La obligación de garantizar que los datos personales sean exactos y estén actualizados, informando sin demora al Responsable del Tratamiento si éste tiene conocimiento de que los datos personales que está tratando son inexactos o han quedado obsoletos.
  • Las obligaciones del artículo 32 del GDPR.

Las Partes establecerán en el Apéndice III las medidas técnicas y organizativas apropiadas por las que el Encargado del Tratamiento deberá asistir al Responsable del Tratamiento en la aplicación de la presente cláusula, así como el alcance y la extensión de la asistencia requerida.

6. Notificación de la violación de datos personales

En caso de violación de los datos personales, el Encargado del Tratamiento cooperará con el Responsable del Tratamiento y le prestará asistencia para que este cumpla sus obligaciones en virtud de los artículos 33 y 34 del GDPR, cuando proceda, teniendo en cuenta la naturaleza del tratamiento y la información de que dispone el encargado.

6.1. Violación de datos relativa a los datos tratados por el Encargado del Tratamiento

En el caso de que el Encargado del Tratamiento tenga conocimiento y verifique cualquier destrucción, pérdida, alteración, divulgación o acceso accidental, no autorizado o ilícito a los Datos Personales del Responsable (“Vulneración de la Seguridad”), el Encargado deberá notificar al Responsable del Tratamiento las circunstancias generadas sin dilación indebida y, en todo caso, en un plazo que no excederá de 72 horas desde el conocimiento efectivo de las mismas.

Dicha notificación deberá contener, como mínimo:

  • Una descripción de la naturaleza de la infracción (incluyendo, cuando sea posible, las categorías y el número aproximado de interesados y registros de datos afectados).
  • Los datos de un punto de contacto en el que se puede obtener más información sobre la violación de los datos personales.
  • Sus probables consecuencias y las medidas adoptadas o que se proponen adoptar para hacer frente al incumplimiento, incluso para mitigar sus posibles efectos adversos.

Cuando, y en la medida en que no sea posible proporcionar toda esta información al mismo tiempo, la notificación inicial contendrá la información disponible en ese momento y, posteriormente, se proporcionará la información adicional, a medida que esté disponible, sin demoras indebidas.

Las Partes establecerán en el Apéndice III todos los demás elementos que debe proporcionar el Encargado del Tratamiento cuando asista al Responsable del Tratamiento en el cumplimiento de las obligaciones de éste en virtud de los artículos 33 y 34 del GDPR.

7. Retorno, conservación y eliminación de datos personales

CRUASAN pondrá a disposición del CLIENTE un plazo de quince (15) días naturales desde la finalización efectiva del servicio para que éste pueda acceder a la Plataforma y descargar toda la información almacenada y gestionada en la misma.

La descarga de los datos se realizará mediante las funcionalidades estándar de la plataforma, no estando CRUASAN obligado a facilitar formatos distintos ni a realizar desarrollos específicos para la extracción o migración de la información.

Transcurrido dicho plazo, CRUASAN procederá al bloqueo de los datos del CLIENTE por el tiempo necesario para cumplir con las obligaciones legales aplicables. Finalizado dicho periodo de conservación, los datos serán eliminados de forma definitiva.

Sección III — Disposiciones finales

8. Rescisión y finalización del servicio

Sin perjuicio de lo dispuesto en el GDPR, en caso de que el Encargado del Tratamiento incumpla las obligaciones que le incumben en virtud de las presentes Cláusulas, el Responsable del Tratamiento podrá ordenar al Encargado que suspenda el tratamiento de los datos personales hasta que este cumpla las presentes Cláusulas o se resuelva el contrato. El Encargado del Tratamiento informará sin demora al Responsable del Tratamiento en caso de que no pueda cumplir las presentes cláusulas, sea cual sea el motivo.

El Responsable del Tratamiento tendrá derecho a rescindir el contrato en lo que respecta al tratamiento de datos personales con arreglo a las presentes cláusulas si: (a) el Encargado del Tratamiento incumple de forma sustancial o persistente las presentes Cláusulas o sus obligaciones en virtud del GDPR, y (b) el Encargado del Tratamiento incumple una decisión vinculante de un tribunal competente o de la(s) autoridad(es) de control competente(s) en relación con sus obligaciones en virtud de las presentes cláusulas o del GDPR.

El Encargado del Tratamiento tendrá derecho a rescindir el contrato en lo que respecta al tratamiento de datos personales con arreglo a las presentes cláusulas cuando, tras haber informado al Responsable del Tratamiento de que sus instrucciones infringen los requisitos legales aplicables de conformidad con la cláusula 4.1.2., el Responsable del Tratamiento insista en el cumplimiento de las instrucciones.

Tras la terminación del contrato, el Encargado del Tratamiento da la opción al Responsable del Tratamiento, de acceder a la plataforma y proceder a la descarga de toda la información relacionada con el servicio prestado así como de datos personales. Después del periodo determinado en la cláusula 7 del presente Contrato, el Encargado del Tratamiento procederá al bloqueo de los datos por un periodo no superior a un año por motivos legales y/o posibles cuestiones judiciales. Y posteriormente a dicho periodo, se procederá a suprimir todos los datos personales tratados por cuenta del Responsable del Tratamiento, a menos que el Derecho de la Unión o de los Estados miembros exija la conservación de los datos personales. Hasta que se eliminen o devuelvan los datos, el Encargado del Tratamiento seguirá garantizando el cumplimiento de estas cláusulas.

Apéndice I — Lista de partes

Responsable(s) del tratamiento

  • Nombre: CLIENTE que ha aceptado los T&C.
  • Dirección: dirección del CLIENTE.
  • Persona de contacto, cargo y datos de contacto: los facilitados por el CLIENTE.

Encargado(s) del tratamiento

  • Nombre: Cruasan Software S.L.
  • Dirección: Calle Diego de León 5, 6º derecha — 28006 Madrid.
  • Contacto: Blanca Cabanas (Administradora solidaria) — gdpr@cruasan.com.

Apéndice II — Descripción del tratamiento

1. Descripción del tratamiento

El Encargado del Tratamiento llevará a cabo el tratamiento de datos personales necesario para la prestación de los siguientes servicios a través de la plataforma Cruasán Software:

  • Creación y alta de los clientes en la Plataforma.
  • Gestión y almacenamiento de datos personales de clientes y proveedores del Responsable del Tratamiento necesarios para proporcionar los servicios de gestión empresarial, organización administrativa, control y gestión económica o emisión, recepción y gestión de facturas.
  • Generación, registro y remisión de registros de facturación a la Agencia Estatal de Administración Tributaria (AEAT) en cumplimiento de la normativa Verifactu (Real Decreto 1007/2023).
  • Organización administrativa y control de gestión económica del Responsable del Tratamiento, en los términos acordados en el Contrato.
  • Envío de comunicaciones relacionadas con el uso de la Plataforma.
  • Prestación de servicios de soporte, mantenimiento, control de calidad y mejora funcional de la Plataforma.
  • Asistencia técnica.

2. Categorías

Categorías de interesados cuyos datos personales se tratan:

  • Personas físicas a las que se emiten facturas (clientes particulares del Responsable del Tratamiento).
  • Autónomos y profesionales independientes (que facturan con su NIF/DNI).
  • Personas de contacto de empresas clientes o proveedoras del Responsable del Tratamiento (cuando se incluyan datos personales como nombre, apellidos o email personal).
  • Empleados del Responsable del Tratamiento (cuyos datos figuren en documentos de nómina u otros registros de gastos laborales gestionados a través de la Plataforma).
  • Usuarios del software (empleados o representantes del Responsable del Tratamiento que acceden a la Plataforma).

Categorías de datos personales tratados: indicados en el punto 3.

3. Recogida de datos personales y su tratamiento

A continuación, se indican los datos personales que podemos tratar en nuestra plataforma en el marco de la prestación de los servicios:

Categoría de interesados Datos personales y/o categoría de datos personales
Personas físicas a las que se emiten facturas (clientes particulares) Identificativos y personales: nombre y apellidos, NIF/DNI, dirección, correo electrónico, teléfono.
Datos fiscales y contables: datos de facturación.
Datos económicos y financieros: cuenta bancaria, forma y condiciones de pago.
Autónomos y profesionales independientes (proveedores del responsable que actúan con su NIF/DNI) Identificativos y personales: nombre y apellidos, NIF/DNI, dirección, correo electrónico, teléfono.
Datos fiscales y contables: datos de facturación.
Datos económicos y financieros: cuenta bancaria, forma y condiciones de pago.
Empleados del Responsable Identificativos y personales: nombre y apellidos, DNI, cargo, correo electrónico.
Características laborales: puesto/cargo, categoría o grupo profesional, departamento.
Datos económicos y financieros: cuenta bancaria, nóminas, gastos.
Usuarios del software Datos de acceso y autenticación: dirección de correo electrónico, usuario, contraseña cifrada, IP de acceso.
Datos de actividad: registros de uso de la Plataforma.

4. Naturaleza del tratamiento

Recopilación, recolección, registro, almacenamiento, consulta, utilización, recuperación, restricción y supresión.

5. Finalidad(es) para la que se tratan los datos personales por cuenta del Responsable del Tratamiento

Suministro de servicios acordados en los T&C.

6. Duración del tratamiento

La duración de este Contrato está vinculada a la duración establecida por las partes en los T&C.

Apéndice III — Medidas técnicas y organizativas

1. Confidencialidad (art. 32 párrafo 1 lit. b RGPD)

a) Control de acceso

Las siguientes medidas pretenden evitar que personas no autorizadas accedan a nuestros sistemas de procesamiento de datos.

  • Inicio de sesión personal e individual del usuario al iniciar sesión en el sistema.
  • Proceso de autorización de los derechos de acceso (incorporación/desconexión).
  • Limitación de los usuarios autorizados por niveles.
  • Política de contraseñas.
  • Procedimiento de contraseñas (especificación de los parámetros de las contraseñas con respecto a la complejidad y el intervalo de actualización).
  • Documentación electrónica de las contraseñas y protección de esta documentación contra el acceso no autorizado.
  • Registro de acceso de los clientes en la Plataforma.
  • Inicio de sesión adicional en el sistema para aplicaciones específicas.

b) Control de acceso

Hemos tomado las siguientes medidas para garantizar que las personas no autorizadas no tengan acceso a los datos personales tratados por nosotros.

  • Administración y documentación de las diferentes autorizaciones.
  • Celebración de contratos de tratamiento de datos con proveedores externos seguros para el control y gestión del almacenamiento de datos de los usuarios de la Plataforma.
  • Evaluación/registro del procesamiento de datos.
  • Gestión de ejercicio de derechos a los usuarios de la Plataforma.
  • Perfiles/roles internos de los usuarios.
  • Cifrado de CD/DVD ROM, discos duros externos y/o ordenadores portátiles.
  • Medidas para evitar la transferencia no autorizada de datos a soportes de datos externos (por ejemplo, protección anticopia, bloqueo de puertos USB, “Sistema de prevención de pérdida de datos (DLP)”).
  • Principio de doble control.
  • Separación de funciones.
  • Destrucción experta de archivos y soportes de datos según la norma DIN 66399.
  • Políticas de privacidad específicas para la web así como para la contratación del Producto.

c) Control de separación

Las siguientes medidas garantizan que los datos personales recogidos para diferentes fines se traten por separado.

  • Almacenamiento de conjuntos de datos en bases de datos separadas en la nube.
  • Procesamiento de datos en sistemas separados.
  • Derechos de acceso según la responsabilidad funcional.
  • Procesamiento de datos por separado mediante reglas de acceso diferenciadas.
  • Separación del entorno de desarrollo y de producción.

2. Integridad (art. 32 párrafo 1 lit. b RGPD)

a) Control de las transferencias

Se garantiza que los datos personales no puedan ser leídos, copiados, modificados o eliminados sin autorización durante su transmisión o almacenamiento en los soportes de datos y que se pueda comprobar qué personas u organismos han recibido datos personales. Se han aplicado las siguientes medidas para garantizarlo:

  • Cifrado del soporte de almacenamiento de los ordenadores portátiles.
  • Transferencia segura de archivos.
  • Transporte seguro de datos (por ejemplo, SSL, ftps).
  • Wi-Fi seguro.
  • Sistema de gestión de dispositivos móviles.
  • Procedimiento o política para la gestión y el control de dispositivos.
  • Registro de la copia en la nube.
  • Campo de comentarios en la Plataforma (encriptación SSL).
  • Soluciones cifradas en la nube para la transmisión de datos.

b) Control de entrada

Las siguientes medidas garantizan la posibilidad de comprobar quién ha tratado los datos personales en los sistemas de tratamiento de datos y en qué momento.

  • Derechos de acceso.
  • Responsabilidades funcionales, responsabilidades organizativas.
  • Principio de control múltiple de usuarios.

3. Disponibilidad y capacidad (art. 32 párrafo 1 lit. b RGPD)

Control de disponibilidad y control de capacidad

Las siguientes medidas garantizan que los datos personales estén protegidos contra la destrucción o pérdida accidental y estén siempre a disposición del cliente.

  • Concepto de seguridad para el software y las aplicaciones informáticas.
  • Procedimiento de copia de seguridad.
  • Proceso de almacenamiento de las copias de seguridad en la nube.
  • Garantizar el almacenamiento de datos en una red segura.
  • Instalación adecuada de las actualizaciones de seguridad.

4. Procedimiento de revisión, apreciación y evaluación periódicas (art. 32(1)(d) RGPD; art. 25(1) RGPD)

a) Gestión de la protección de datos

Las siguientes medidas pretenden garantizar una organización que cumpla los requisitos básicos de protección de datos:

  • Concepto de protección de datos.
  • Compromiso de los empleados con el secreto de los datos y, en especial, los sensibles.
  • Formación suficiente de los empleados en materia de protección de datos.
  • Mantener una visión general de las actividades de tratamiento (art. 30 RGPD).
  • Realización de evaluaciones de impacto sobre la protección de datos cuando sea necesario (art. 35 RGPD).
  • Revisión interna extensiva de la seguridad de la información.
  • Definición del tratamiento de los datos personales sensibles por procesos de pseudoanonimización.

b) Gestión de la respuesta a incidentes

Las siguientes medidas están diseñadas para garantizar la activación de los procesos de notificación en caso de violaciones de la protección de datos:

  • Proceso de notificación de infracciones de la protección de datos a las autoridades de control de conformidad con el art. 4 párr. 12 RGPD (art. 33 RGPD).
  • Proceso de notificación de las violaciones de la protección de datos a los afectados de acuerdo con el art. 4 párr. 12 RGPD (art. 34 RGPD).

c) Control de servicios

Las siguientes medidas garantizan que los datos personales sólo pueden ser tratados de acuerdo con las instrucciones.

  • Acuerdo sobre el tratamiento de datos con la regulación de los derechos y obligaciones del Proveedor de CRUASÁN.
  • Proceso seguimiento de instrucciones.
  • Asignación de las personas de contacto y/o empleados responsables.
  • Formación/instrucción de todos los empleados con derechos de acceso a la Plataforma y, en especial, a los datos sensibles de los clientes.
  • Compromiso de los empleados con el secreto de los datos y firma de Contratos de Confidencialidad.
  • Acuerdo de sanciones contractuales por incumplimiento de instrucciones.
  • Control y seguimiento de la selección del proveedor de servicios.
  • Gestión estandarizada de los contratos para el control previo y el seguimiento de los proveedores de servicios.

Apéndice IV — Lista de subencargados

Proveedor Servicios contratados Datos comunicados Interesados Activo Ubicación RGPD compliance Base de legitimación Comentarios
AWS Hosting de la Plataforma cuya finalidad es almacenar todos los datos que se encuentran en la plataforma Cruasan. Datos identificativos. Datos laborales. Datos económicos. Empleados del Cliente. Administrador (Cliente). Irlanda Contrato Encargado de Tratamiento + Cláusulas Contractuales Tipo. El Contrato de Encargado (DPA) es aceptado cuando Cruasan firma los términos y condiciones de contratación de los servicios de hosting: AWS Data Processing Addendum (DPA). A pesar de que los datos estén ubicados en Irlanda, AWS Irlanda puede realizar transferencias internacionales indirectas a la matriz, ubicada en Estados Unidos. Se ha realizado una Evaluación de Impacto de la Posible Transferencia (DTIA), de la que se concluye que la potencial transferencia internacional se puede llevar a cabo dado que no supone un alto riesgo para los interesados.

Fecha última versión: marzo 2026.

Y para que así conste a todos los efectos legales oportunos, el presente documento regula el contrato de encargo de tratamiento en el marco de la relación contractual.

Este documento constituye el contrato de encargo de tratamiento. La aceptación por parte del CLIENTE se realiza de forma electrónica mediante la aceptación de los Términos y Condiciones y del DPA en la plataforma.

Por Cruasan Software S.L.

Dña. Blanca Cabanas

Aviso legal · Condiciones de uso · Contrato de encargado del tratamiento · Declaración responsable · Política de cookies