Acuerdo de Encargado del Tratamiento (DPA)
Data Processing Agreement
Última actualización: Febrero 2026
¿Qué es un DPA?
El Acuerdo de Encargado del Tratamiento (DPA - Data Processing Agreement) es un contrato obligatorio según el Art. 28 del RGPD que regula cómo AuditWaste trata los datos personales de los empleados de nuestros clientes cuando utilizan la plataforma. Este documento garantiza que cumplimos con las más altas normas de protección de datos.
1. Partes del Acuerdo
El RESPONSABLE del Tratamiento
Tu establecimiento (hotel, restaurante, cadena HORECA) que contrata el servicio AuditWaste y determina los fines y medios del tratamiento de datos de sus empleados.
El ENCARGADO del Tratamiento
AuditWaste que trata datos personales por cuenta del Responsable únicamente para prestar el servicio de registro de desperdicio alimentario.
2. Objeto y Duración
2.1 Objeto del Tratamiento
AuditWaste tratará datos personales por cuenta del Responsable exclusivamente para:
- Proveer el servicio SaaS de registro de desperdicio alimentario
- Almacenar y procesar registros con validez legal conforme a la Ley 1/2025
- Generar informes y métricas analíticas para el Responsable
- Garantizar la integridad y trazabilidad mediante hashes SHA-256
2.2 Duración del Acuerdo
Este DPA estará vigente durante toda la duración del contrato de suscripción entre las partes, más 5 años adicionales para cumplir con el periodo de retención legal de registros establecido en la Ley 1/2025.
3. Naturaleza, Finalidad y Categorías de Datos
3.1 Naturaleza del Tratamiento
- Recogida, registro y almacenamiento de datos
- Conservación y organización
- Consulta y extracción de informes
- Limitación (bloqueo tras periodo activo)
- Supresión (tras periodo legal de 5 años)
3.2 Finalidad del Tratamiento
Cumplimiento de la Ley 1/2025 de prevención de las pérdidas y el desperdicio alimentario mediante:
- Registro de desperdicio alimentario conforme a buenas prácticas
- Generación de documentación con validez legal para inspecciones
- Análisis de causas y patrones de desperdicio
- Optimización de procesos de cocina y almacenamiento
3.3 Categorías de Datos Personales
| Categoría | Datos Específicos |
|---|---|
| Datos identificativos | Nombre completo, email, rol/cargo del empleado que registra el desperdicio |
| Datos de actividad | Fecha, hora, categoría y volumen de desperdicio registrado, fotografías de residuos |
| Datos técnicos | Dirección IP, tipo de dispositivo, metadatos EXIF de fotografías |
Categorías especiales de datos (Art. 9 RGPD): AuditWaste NO trata datos sensibles como origen racial, religión, salud, orientación sexual, afiliación sindical o datos biométricos de identificación. Las fotografías capturadas se limitan exclusivamente a residuos alimentarios, sin captura intencionada de personas.
4. Obligaciones del Encargado (AuditWaste)
AuditWaste se compromete a:
4.1 Instrucciones del Responsable
Tratar los datos únicamente siguiendo las instrucciones documentadas del Responsable. Si AuditWaste considera que una instrucción infringe el RGPD, informará inmediatamente al Responsable.
4.2 Confidencialidad
Garantizar que las personas autorizadas para tratar los datos se comprometan a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza legal. Todo el personal de AuditWaste firma acuerdos de confidencialidad (NDA).
4.3 Medidas de Seguridad
Implementar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo:
- Cifrado en tránsito: TLS 1.2+ para todas las comunicaciones
- Cifrado en reposo: AES-256 para base de datos
- Hashing SHA-256: Integridad de registros inmutables
- Row Level Security (RLS): Aislamiento de datos por tenant
- Autenticación robusta: JWT con MFA para administradores
- Auditoría: Logs inmutables de todas las acciones críticas
- Backups cifrados: Diarios con retención 30 días
4.4 Asistencia en Derechos de los Interesados
Asistir al Responsable, teniendo cuenta la naturaleza del tratamiento, mediante medidas técnicas y organizativas apropiadas, para que pueda dar respuesta a las solicitudes de ejercicio de derechos (acceso, rectificación, supresión, limitación, portabilidad, oposición).
Plazo de respuesta: 5 días laborables desde la solicitud del Responsable.
4.5 Notificación de Violaciones de Seguridad
Notificar al Responsable sin dilación indebida y, en cualquier caso, en un plazo máximo de 24 horas, cualquier violación de la seguridad de los datos personales de la que tenga conocimiento, proporcionando:
- Descripción de la naturaleza de la violación
- Categorías y número aproximado de interesados afectados
- Posibles consecuencias de la violación
- Medidas adoptadas o propuestas para remediar la violación
4.6 Auditorías e Inspecciones
Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones y permitir las auditorías, incluidas las inspecciones, por parte del Responsable o de un auditor autorizado, previa notificación con 7 días de antelación y en horario laboral.
5. Subencargados del Tratamiento
El Responsable autoriza expresamente a AuditWaste a subcontratar los siguientes servicios con terceros (subencargados):
| Subencargado | Servicio | Ubicación | Garantías |
|---|---|---|---|
| Supabase Inc. | Base de datos PostgreSQL y backend | UE / EE.UU. | SCCs, Certificación ISO 27001 |
| Vercel Inc. | Hosting web y CDN | UE / EE.UU. | SCCs, Certificación SOC 2 |
| Stripe Inc. | Procesamiento de pagos | UE / EE.UU. | SCCs, PCI-DSS Level 1 |
| Google LLC | IA (Gemini), Google Workspace | UE / EE.UU. | SCCs, Certificación ISO 27001 |
Nota: Todos los subencargados están obligados por contrato a cumplir con las mismas obligaciones de protección de datos que AuditWaste. Cualquier cambio en los subencargados se notificará al Responsable con 30 días de antelación, otorgando el derecho a oponerse de forma motivada.
6. Transferencias Internacionales
Algunos de nuestros subencargados procesan datos en Estados Unidos. Para garantizar un nivel adecuado de protección, aplicamos las siguientes garantías:
- Cláusulas Contractuales Tipo (SCCs): Aprobadas por la Comisión Europea en la Decisión de Ejecución (UE) 2021/914.
- Medidas suplementarias: Cifrado extremo a extremo, minimización de datos, pseudonimización donde sea posible.
- Evaluación de Transferencias (TIA): Realizada conforme a las recomendaciones del EDPB (European Data Protection Board).
Copia de las SCCs disponible bajo petición a: legal@auditwaste.com
7. Conservación y Devolución de Datos al Finalizar el Servicio
Al término de la prestación de servicios de tratamiento, AuditWaste se compromete a:
7.1 Opción A: Devolución de Datos
A solicitud del Responsable, devolver todos los datos personales en formato CSV, JSON o PDF en un plazo de 30 días tras la terminación del contrato.
7.2 Opción B: Supresión de Datos
Si el Responsable no solicita la devolución, proceder a la supresión completa de todos los datos personales, salvo aquellos que deban conservarse por:
- Obligación legal: Registros de desperdicio alimentario (5 años, Ley 1/2025)
- Obligación fiscal: Facturas y datos de facturación (5 años)
Importante - Ley 1/2025: Los registros de desperdicio alimentario se conservarán bloqueados (sin acceso del cliente) durante el periodo legal de 5 años, accesibles únicamente mediante solicitud formal o requerimiento de la AICA. Esto garantiza validez legal para inspecciones retrospectivas.
8. Responsabilidad e Indemnizaciones
- Cada parte será responsable de los daños que cause por incumplimiento de sus obligaciones conforme al RGPD.
- Si el Encargado infringe el RGPD al determinar los fines y medios del tratamiento, será considerado Responsable con respecto a dicho tratamiento.
- El Encargado responderá de los daños causados por un subencargado que no cumpla con las obligaciones específicas del RGPD aplicables a los encargados.
9. Cláusula de Información para el Personal del Responsable
COMUNICADO A LOS TRABAJADORES
El establecimiento informa que, en cumplimiento de la Ley 1/2025 de Prevención del Desperdicio Alimentario, se ha implementado la herramienta AuditWaste.
Finalidad: Registro de pérdidas alimentarias para cumplimiento y evitar sanciones administrativas.
Privacidad: La captura de imágenes se limita exclusivamente a los residuos. No se permite la identificación facial de empleados.
Garantía: Los datos obtenidos no serán utilizados para el control laboral disciplinario ni para la monitorización del rendimiento individual, sino para la optimización de procesos de cocina y cumplimiento legal.
El Responsable puede utilizar esta cláusula para informar a sus empleados sobre el tratamiento de datos personales, cumpliendo así con los Arts. 13-14 del RGPD.
10. Modificaciones del DPA
Este DPA podrá ser modificado para adaptarlo a cambios normativos (RGPD, LOPDGDD, Ley 1/2025) o mejoras técnicas. Cualquier modificación sustancial se notificará al Responsable con 30 días de antelación por email, otorgando el derecho a rescindir el contrato sin penalización si no acepta los cambios.
11. Contacto y Resolución de Controversias
Delegado de Protección de Datos (DPO) de AuditWaste:
Email: privacy@auditwaste.com
Dirección: Calle Teseguite 40 Local Bajo, Vecindario, Las Palmas, España
Resolución de conflictos: Las partes se comprometen a resolver amistosamente cualquier controversia derivada de este DPA. En caso de litigio, será competente la jurisdicción de Madrid, España.
✓ Cumplimiento Normativo
Este DPA cumple con los requisitos establecidos en el Art. 28 del Reglamento (UE) 2016/679 (RGPD), la Ley Orgánica 3/2018 (LOPDGDD) y las directrices del Comité Europeo de Protección de Datos (EDPB).