Dalto está en fase demoAcceso por invitación, todavía no disponible para compra abiertaSolicitar acceso
Legal · DPA

Contrato de encargado del tratamiento (DPA)

Versión 1.0 · Última actualización: 2026-05-06

Este contrato (Data Processing Agreement, en adelante «DPA») regula el tratamiento de datos personales que Vishal Georg Punia DALTO», el «Encargado») realiza por cuenta del profesional con cuenta activa en app.dalto.es (el «Responsable»). Forma parte integrante de las condiciones de servicio aceptadas durante el alta de cuenta. Se ajusta al Art. 28 del Reglamento (UE) 2016/679 (RGPD) y a la Ley Orgánica 3/2018 (LOPDGDD).

1. Definiciones

A efectos de este DPA, los términos «Datos Personales», «Tratamiento», «Responsable», «Encargado», «Interesado», «Categorías especiales de datos» y «Brecha de seguridad» tienen el significado del Art. 4 RGPD.

  • Servicios: el software como servicio DALTO, ofrecido por Vishal Georg Punia a través de app.dalto.es.
  • Datos del Cliente Final: los datos personales que el Responsable introduce en DALTO sobre sus propios clientes (datos de contacto, documentos, respuestas a solicitudes).
  • Sub-encargados: los proveedores listados en dalto.es/legal/sub-encargados.
  • TOMs: medidas técnicas y organizativas implementadas por el Encargado conforme al Art. 32 RGPD (descritas en la Sección 11 y en la Política de privacidad).

2. Objeto, duración, naturaleza y finalidad

  • Objeto: tratamiento de los Datos del Cliente Final por cuenta del Responsable para la prestación de los Servicios DALTO.
  • Duración: mientras esté activa la cuenta del Responsable más el periodo de conservación legal aplicable. Tras la cancelación, los Datos del Cliente Final se borran a los 30 días; los registros contables se conservan 6 años conforme al Art. 30 del Código de Comercio.
  • Naturaleza: almacenamiento, transmisión a través del portal del cliente, envío de recordatorios automáticos por email/WhatsApp/Telegram, generación de exportaciones bajo demanda del Responsable.
  • Finalidad: permitir al Responsable solicitar, recibir y organizar documentos e información de sus clientes finales mediante el flujo DALTO.

3. Categorías de datos e interesados

Los datos tratados por cuenta del Responsable pueden incluir:

  • Datos identificativos del cliente final: nombre, email, teléfono, empresa.
  • Datos de contacto digital: identificadores de WhatsApp, Telegram.
  • Datos contenidos en documentos subidos: según los formularios que el Responsable defina (DNI/NIE, contratos, justificantes, datos financieros, datos médicos según el caso).
  • Categorías especiales (Art. 9 RGPD): potencialmente, si el Responsable solicita documentos que las contengan (p.ej. abogados con expedientes de salud o penales).
  • Metadatos del proceso: marcas temporales de envío, recepción y completación, historial de recordatorios.

Categorías de interesados: los clientes finales del Responsable y, en su caso, terceros cuya información figure en los documentos solicitados.

4. Obligaciones del Responsable

El Responsable, como Responsable del tratamiento:

  • Determina los fines y los medios del tratamiento al que destina DALTO.
  • Garantiza que dispone de base legal válida para el tratamiento (consentimiento, contrato, obligación legal o interés legítimo según corresponda) y que ha informado a los interesados conforme al Art. 13/14 RGPD.
  • Es el punto de contacto para los derechos de los interesados (acceso, rectificación, supresión, etc.). El Encargado redirigirá cualquier solicitud directa al Responsable.
  • No introduce en DALTO datos personales más extensos de los necesarios para la finalidad del tratamiento.
  • Cumple con las obligaciones de minimización, exactitud, conservación limitada y seguridad respecto de los datos que sube al sistema.

5. Obligaciones del Encargado

Vishal Georg Punia, como Encargado del tratamiento, se compromete a:

  1. Tratar los datos únicamente conforme a las instrucciones documentadas del Responsable, salvo obligación legal aplicable.
  2. Garantizar la confidencialidad del personal autorizado al tratamiento.
  3. Implementar las TOMs descritas en la Sección 11 y mantenerlas actualizadas.
  4. No subcontratar a sub-encargados distintos de los listados en dalto.es/legal/sub-encargados sin notificación previa al Responsable con al menos 30 días de antelación (Sección 6).
  5. Asistir al Responsable en el cumplimiento de sus obligaciones de respuesta a los derechos de los interesados, mediante medidas técnicas y organizativas apropiadas y en la medida de lo posible.
  6. Asistir al Responsable en garantizar el cumplimiento de los Art. 32-36 RGPD, teniendo en cuenta la naturaleza del tratamiento y la información disponible.
  7. Notificar cualquier brecha de seguridad sin dilación indebida (Sección 9).
  8. A elección del Responsable y al término del contrato, suprimir o devolver todos los Datos del Cliente Final, salvo conservación obligatoria por ley (Sección 10).
  9. Poner a disposición del Responsable la información razonable para acreditar el cumplimiento de este DPA y permitir auditorías (Sección 12).

6. Sub-encargados

El Responsable autoriza expresamente al Encargado a contratar a los sub-encargados listados en dalto.es/legal/sub-encargados, página que forma parte integrante de este DPA y refleja la lista vigente en cada momento.

Cualquier alta o sustitución de sub-encargados se notificará al Responsable por email con al menos 30 días de antelación. Durante ese periodo, el Responsable puede objetar razonadamente. Si la objeción no puede resolverse mediante medidas alternativas, el Responsable podrá rescindir el contrato sin penalización.

El Encargado se compromete a imponer a los sub-encargados, mediante contrato, obligaciones de protección de datos equivalentes a las establecidas en este DPA.

7. Transferencias internacionales

Por diseño, DALTO procesa los datos dentro del Espacio Económico Europeo. Las únicas transferencias previstas a terceros países están cubiertas por las Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea o por la certificación EU-U.S. Data Privacy Framework cuando aplique. Estas transferencias están detalladas en la página de sub-encargados y en la Sección 7 de la Política de privacidad.

8. Derechos de los interesados

Si un cliente final contacta directamente al Encargado para ejercer sus derechos (Art. 15-22 RGPD), el Encargado lo redirigirá al Responsable que corresponda y le notificará la solicitud sin dilación indebida.

El Encargado pone a disposición del Responsable las funciones de la app que le permiten responder a estos derechos (búsqueda, exportación, edición y supresión de datos del cliente final). Si el Responsable necesita asistencia adicional, el Encargado prestará apoyo razonable.

9. Notificación de brechas de seguridad

En caso de brecha de seguridad que afecte a Datos del Cliente Final, el Encargado notificará al Responsable sin dilación indebida y en cualquier caso dentro de las 72 horas desde que tenga conocimiento de la misma. La notificación incluirá, en la medida en que esté disponible:

  • Naturaleza de la brecha y categorías y volumen aproximado de afectados.
  • Datos de contacto del punto que el Responsable puede consultar.
  • Consecuencias probables de la brecha.
  • Medidas adoptadas o propuestas para mitigar sus posibles efectos.

Las decisiones de notificar a la AEPD (Art. 33 RGPD) y, en su caso, a los interesados (Art. 34 RGPD) corresponden al Responsable. El Encargado le proporcionará la información razonable para tomar esas decisiones.

10. Devolución o supresión al término del contrato

Al finalizar la prestación de los Servicios, el Responsable podrá:

  • Exportar los datos en un formato estructurado y legible por máquina mediante las funciones de exportación de la app.
  • Solicitar la supresión de su cuenta, lo que iniciará el periodo de gracia de 30 días tras el cual se borrarán automáticamente todos los Datos del Cliente Final.

Los registros que el Encargado deba conservar por obligación legal (facturación, libros contables) se mantienen durante el plazo legal aplicable (6 años en el caso de la legislación contable española) y permanecen sujetos a la confidencialidad establecida en este DPA.

11. Medidas técnicas y organizativas (TOMs)

Vishal Georg Punia aplica las siguientes medidas, revisadas periódicamente conforme al estado de la técnica:

  • Cifrado en tránsito: TLS 1.2 o superior en todas las conexiones públicas.
  • Almacenamiento de credenciales: contraseñas hash con bcrypt; tokens de sesión y portal como identificadores opacos generados criptográficamente.
  • Aislamiento por inquilino: separación lógica a nivel de consulta de base de datos; cada Responsable accede únicamente a sus propios datos.
  • Acceso por enlace al portal: magic-link único por cliente, opcional verificación PIN.
  • Backups: copias de seguridad automáticas diarias, cifradas en reposo, retenidas durante 30 días en infraestructura europea.
  • Acceso del personal: únicamente personal autorizado de Vishal Georg Punia con vinculación de confidencialidad. Los accesos administrativos quedan registrados a nivel de sistema.
  • Gestión de vulnerabilidades: actualizaciones periódicas del stack, monitorización de dependencias.
  • Continuidad de servicio: infraestructura europea con SLA del proveedor de hosting; restauración desde backup verificable.

12. Auditoría

El Encargado pone a disposición del Responsable, bajo solicitud razonada, la información necesaria para acreditar el cumplimiento de este DPA. Cuando una auditoría in situ sea estrictamente necesaria, las partes acordarán de buena fe su alcance, calendario y coste, respetando la confidencialidad de los datos de otros responsables.

El Encargado podrá demostrar el cumplimiento mediante reportes de certificaciones de sus sub-encargados (ISO 27001 u otros equivalentes) cuando estén disponibles.

13. Limitación de responsabilidad

La responsabilidad de cada parte se limita conforme a las condiciones generales de servicio de DALTO y a la legislación aplicable. Esta limitación no excluye los supuestos de dolo, negligencia grave o aquellos en los que la legislación imponga responsabilidad de forma imperativa.

14. Vigencia y modificaciones

Este DPA entra en vigor en la fecha de aceptación por parte del Responsable durante el alta o renovación de cuenta y permanece vigente mientras dure el contrato de servicio.

Cualquier modificación material se comunicará con al menos 30 días de antelación. La continuación del uso del servicio tras esa fecha implica la aceptación de la nueva versión.

15. Ley aplicable y jurisdicción

Este DPA se rige por la legislación española y se interpreta en consonancia con el RGPD y la LOPDGDD. Las controversias se someten a los Juzgados y Tribunales de Murcia (España), sin perjuicio de los fueros imperativos aplicables.

16. Contacto

Para cualquier cuestión relativa a este DPA:

  • Email para asuntos de privacidad: privacidad@dalto.es
  • Domicilio: Calle Ortega y Gasset 9, plantas 6 y 7, 30009 Murcia, España

Versión 1.0 · Última actualización: 2026-05-06