Acuerdo de Tratamiento de Datos (DPA)
Acuerdo de Encargado del Tratamiento conforme al artículo 28 del Reglamento (UE) 2016/679 (RGPD)
Última actualización: 6 de abril de 2026
1. Partes
| Responsable del tratamiento | El cliente que contrata el servicio VeriFactu SaaS (en adelante, el «Responsable» o el «Cliente»), identificado mediante los datos proporcionados durante el registro en la plataforma. |
|---|---|
| Encargado del tratamiento | ALMC SECURITY S.L.U. (en adelante, «ALMC» o el «Encargado»), con domicilio social en Valencia (España). Contacto: privacidad@almc.es |
El presente Acuerdo de Tratamiento de Datos (en adelante, el «DPA») se celebra en virtud de la relación contractual derivada de la contratación del servicio VeriFactu SaaS y forma parte integrante de los Términos y Condiciones del Servicio.
2. Definiciones
A los efectos del presente DPA, los términos «datos personales», «tratamiento», «responsable del tratamiento», «encargado del tratamiento», «interesado» y «violación de la seguridad de los datos personales» tendrán el significado establecido en el artículo 4 del RGPD.
3. Objeto y duración
3.1. Objeto
El presente DPA tiene por objeto regular las condiciones en las que ALMC, como encargado del tratamiento, trata datos personales por cuenta del Responsable en el marco de la prestación del servicio VeriFactu SaaS de facturación electrónica.
3.2. Duración
El presente DPA estará vigente durante toda la duración de la relación contractual entre las partes. Las obligaciones de confidencialidad y las relativas a la devolución o supresión de datos sobrevivirán a la finalización del contrato.
4. Naturaleza y finalidad del tratamiento
El tratamiento de datos personales realizado por ALMC en nombre del Responsable consiste en:
- Procesamiento de facturas electrónicas: recepción de datos de facturación a través de la API REST, generación de huella digital, encadenamiento de registros y firma electrónica.
- Envío a la AEAT: transmisión de los registros de facturación a la Agencia Tributaria vía servicio web SOAP conforme al protocolo VeriFactu.
- Almacenamiento: conservación cifrada de los registros de facturación, certificados digitales y logs de auditoría.
- Consulta: acceso del Responsable a sus datos a través del panel de administración y la API.
5. Tipos de datos personales tratados
| Categoría | Datos |
|---|---|
| Datos identificativos del emisor | NIF/CIF, denominación social, dirección fiscal |
| Datos identificativos del destinatario de factura | NIF/CIF del destinatario, nombre o razón social, dirección fiscal |
| Datos fiscales | Base imponible, tipo impositivo, cuota tributaria, claves de régimen fiscal, descripción de operaciones |
| Datos técnicos | Huella digital de factura, cadena de registros, firma electrónica, número de serie de factura |
| Certificados digitales | Archivo .pfx/.p12 cifrado, metadatos del certificado (emisor, caducidad, número de serie) |
6. Categorías de interesados
Los datos personales tratados por ALMC en virtud del presente DPA corresponden a las siguientes categorías de interesados:
- Representantes legales y empleados del Responsable cuyos datos aparezcan en las facturas emitidas (emisor).
- Clientes y proveedores del Responsable cuyos datos aparezcan como destinatarios de las facturas electrónicas.
- Personas físicas autónomas que figuren como emisores o destinatarios de facturas.
7. Obligaciones del encargado del tratamiento
ALMC, como encargado del tratamiento, se compromete a:
7.1. Instrucciones documentadas
Tratar los datos personales únicamente conforme a las instrucciones documentadas del Responsable, que se materializan en los Términos y Condiciones del Servicio, el presente DPA y las operaciones realizadas por el Responsable a través de la API y el panel de administración. ALMC no tratará los datos para fines propios ni los comunicará a terceros salvo obligación legal.
7.2. Confidencialidad del personal
Garantizar que las personas autorizadas para tratar los datos personales se han comprometido a respetar la confidencialidad o están sujetas a una obligación legal de confidencialidad. El acceso a los datos se limita al personal estrictamente necesario para la prestación del servicio.
7.3. Medidas de seguridad
Aplicar las medidas de seguridad técnicas y organizativas apropiadas conforme al artículo 32 del RGPD, detalladas en la sección 10 del presente DPA.
7.4. No subcontratar sin autorización
No recurrir a otro encargado del tratamiento (subencargado) sin la autorización previa y específica o general por escrito del Responsable. Los subencargados actualmente autorizados se detallan en la sección 9.
7.5. Asistencia al Responsable
Asistir al Responsable, teniendo en cuenta la naturaleza del tratamiento, mediante las medidas técnicas y organizativas apropiadas, para que éste pueda cumplir con su obligación de atender las solicitudes de ejercicio de derechos de los interesados (acceso, rectificación, supresión, portabilidad, oposición y limitación).
7.6. Asistencia en obligaciones de seguridad
Ayudar al Responsable a garantizar el cumplimiento de las obligaciones establecidas en los artículos 32 a 36 del RGPD (seguridad del tratamiento, notificación de violaciones, evaluaciones de impacto y consultas previas), teniendo en cuenta la naturaleza del tratamiento y la información disponible.
7.7. Devolución o supresión
A elección del Responsable, devolver o suprimir todos los datos personales una vez finalice la prestación del servicio, salvo que una obligación legal exija su conservación. Véase la sección 11 para más detalles.
7.8. Información para auditorías
Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el artículo 28 del RGPD, así como para permitir y contribuir a la realización de auditorías. Véase la sección 12.
8. Notificación de brechas de seguridad
8.1. Plazo de notificación
En caso de que ALMC tenga conocimiento de una violación de la seguridad de los datos personales tratados por cuenta del Responsable, lo notificará sin dilación indebida y en un plazo máximo de setenta y dos (72) horas desde que tenga constancia de la misma.
8.2. Contenido de la notificación
La notificación incluirá, como mínimo:
- Descripción de la naturaleza de la violación, incluyendo, cuando sea posible, las categorías y el número aproximado de interesados y registros afectados.
- Nombre y datos de contacto del punto de contacto para obtener más información.
- Descripción de las posibles consecuencias de la violación.
- Medidas adoptadas o propuestas para remediar la violación y mitigar sus efectos.
8.3. Canal de notificación
La notificación se enviará a la dirección de correo electrónico registrada por el Responsable en la plataforma. ALMC colaborará con el Responsable en la gestión del incidente y en el cumplimiento de sus obligaciones de notificación ante la autoridad de control (AEPD) y los interesados afectados.
9. Subencargados del tratamiento
9.1. Subencargados autorizados
El Responsable autoriza con carácter general el recurso a los siguientes subencargados, necesarios para la prestación del Servicio:
| Subencargado | Finalidad | Ubicación | Base legal |
|---|---|---|---|
| Infraestructura de hosting (servidor propio) | Alojamiento de la plataforma y almacenamiento de datos | España (UE) | Ejecución del contrato |
| AEAT (Agencia Estatal de Administración Tributaria) | Recepción de registros de facturación electrónica | España | Obligación legal |
| Revolut | Procesamiento de pagos de suscripción | UE (Lituania) | Ejecución del contrato |
9.2. Nuevos subencargados
ALMC informará al Responsable con un preaviso mínimo de treinta (30) días naturales de cualquier intención de incorporar nuevos subencargados o sustituir a los existentes, otorgando al Responsable la posibilidad de oponerse. En caso de oposición justificada, las partes negociarán de buena fe una solución alternativa. Si no se alcanza un acuerdo, el Responsable podrá resolver el contrato.
9.3. Obligaciones de los subencargados
ALMC impondrá a cada subencargado, mediante contrato escrito, las mismas obligaciones de protección de datos establecidas en el presente DPA. ALMC será responsable frente al Responsable del cumplimiento de dichas obligaciones por parte de los subencargados.
10. Medidas de seguridad técnicas y organizativas
Conforme al artículo 32 del RGPD, ALMC aplica las siguientes medidas de seguridad:
10.1. Cifrado de certificados digitales
- Derivación de claves: HKDF (HMAC-based Key Derivation Function) con clave maestra independiente por tenant.
- Algoritmo de cifrado: AES-256-GCM (cifrado autenticado).
- Arquitectura: Envelope encryption — la clave de datos (DEK) se cifra con la clave maestra (KEK), y los datos se cifran con la DEK.
- Contraseñas de certificados: cifradas de forma independiente, nunca almacenadas en texto plano.
10.2. Control de acceso
- API keys: almacenadas mediante hash SHA-256. Solo se almacena el hash; la clave completa nunca se conserva tras su generación.
- Contraseñas de usuario: hash bcrypt con factor de coste adaptativo.
- Principio de mínimo privilegio: acceso restringido al personal estrictamente necesario.
- Autenticación de la API: cada petición requiere una API key válida asociada al tenant.
10.3. Cifrado en tránsito
- Todas las comunicaciones con la plataforma se realizan mediante TLS 1.3.
- Las comunicaciones con la AEAT se realizan mediante el canal seguro SOAP establecido por la Agencia Tributaria.
10.4. Logs de auditoría
- Todas las operaciones relevantes (creación de facturas, envíos a la AEAT, subida/eliminación de certificados, cambios de configuración, accesos a la API) quedan registradas con: marca temporal, IP de origen, identificador de usuario y resultado de la operación.
- Los logs se conservan durante 12 meses y están disponibles para el Responsable a través del panel de administración.
10.5. Backups
- Copias de seguridad cifradas en reposo.
- Procedimiento de restauración verificado periódicamente.
- Almacenamiento en ubicación física separada dentro de España.
10.6. Seguridad física y organizativa
- Servidores ubicados en centro de datos en España con control de acceso físico.
- Políticas internas de seguridad de la información.
- Formación periódica del personal en protección de datos y seguridad.
- Procedimientos de gestión de incidentes documentados.
11. Devolución y supresión de datos
11.1. Al finalizar el contrato
Una vez finalizada la relación contractual, ALMC, a elección del Responsable:
- Devolverá todos los datos personales al Responsable en formato estructurado y de lectura mecánica (exportación JSON/CSV disponible desde el panel), o
- Suprimirá todos los datos personales de forma segura.
11.2. Periodo de gracia
ALMC mantendrá los datos disponibles para exportación durante treinta (30) días naturales tras la finalización del contrato. Transcurrido este plazo, los datos serán suprimidos de forma definitiva.
11.3. Excepciones
Quedan exceptuados de la supresión aquellos datos cuya conservación sea exigida por obligación legal (facturas electrónicas: 5 años conforme a la Ley General Tributaria). ALMC informará al Responsable de los datos retenidos y la base legal de su conservación.
12. Auditorías e inspecciones
12.1. Derecho de auditoría
El Responsable, o un auditor autorizado por este, podrá llevar a cabo auditorías, incluidas inspecciones, para verificar el cumplimiento por parte de ALMC de las obligaciones establecidas en el presente DPA.
12.2. Condiciones
- Las auditorías se realizarán con un preaviso mínimo de treinta (30) días naturales.
- Se llevarán a cabo en horario laboral y de manera que no afecten al normal funcionamiento del Servicio.
- Los costes de la auditoría correrán a cargo del Responsable, salvo que la auditoría revele un incumplimiento material por parte de ALMC.
- El auditor deberá suscribir un acuerdo de confidencialidad adecuado.
12.3. Información disponible
ALMC pondrá a disposición del Responsable, previa solicitud razonable:
- Documentación de las medidas de seguridad implementadas.
- Resultados de auditorías internas o de terceros independientes.
- Registros de incidentes de seguridad, en su caso.
- Lista actualizada de subencargados del tratamiento.
13. Ley aplicable
El presente DPA se regirá por:
- El Reglamento (UE) 2016/679 General de Protección de Datos (RGPD).
- La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
- La legislación española en todo lo no previsto por la normativa europea.
Para la resolución de cualquier controversia derivada del presente DPA, las partes se someten a los Juzgados y Tribunales de Valencia (España).