VolverEvidant

Acuerdo de Procesamiento de Datos (DPA)

Data Processing Agreement conforme al RGPD - Última actualización: Enero 2026

¿Qué es el DPA?

El Acuerdo de Procesamiento de Datos (DPA) es un contrato legalmente vinculante entre Evidant (encargado del tratamiento) y su empresa (responsable del tratamiento) que establece cómo se procesarán los datos personales conforme al RGPD. Este documento es necesario cuando contrata servicios que implican el tratamiento de datos personales.

1. Partes del Acuerdo

Este Acuerdo de Procesamiento de Datos se celebra entre:

  • Responsable del Tratamiento (Cliente):
    La entidad que ha contratado los servicios de Evidant y determina los fines y medios del tratamiento de los datos personales de sus empleados, proveedores y/o clientes.
  • Encargado del Tratamiento (Evidant):
    Salvador Capellino Sales, operando bajo el nombre comercial Evidant, que procesa datos personales en nombre del Cliente para prestar los servicios contratados.

2. Objeto del Tratamiento

El presente DPA regula el tratamiento de datos personales que Evidant realiza en nombre del Cliente en el marco de la prestación de los siguientes servicios:

  • Análisis de facturas y documentos financieros
  • Verificación de datos de proveedores (CIF, IBAN, datos de contacto)
  • Detección de fraude BEC (Business Email Compromise)
  • Generación de alertas y reportes
  • Gestión de usuarios de la plataforma

3. Tipos de Datos Personales

En función de los servicios utilizados, Evidant puede procesar las siguientes categorías de datos personales:

3.1 Datos de usuarios de la plataforma

  • Nombre y apellidos
  • Dirección de correo electrónico
  • Número de teléfono
  • Cargo en la empresa
  • Datos de autenticación (hash de contraseña, tokens MFA)

3.2 Datos de proveedores

  • Nombre del representante o contacto
  • CIF/NIF de la empresa
  • IBAN de la cuenta bancaria
  • Dirección de correo electrónico
  • Número de teléfono de contacto

3.3 Datos contenidos en documentos

  • Datos personales que puedan aparecer en facturas analizadas
  • Metadatos de documentos
  • Direcciones de correo electrónico en archivos EML

4. Categorías de Interesados

Los datos personales tratados corresponden a las siguientes categorías de interesados:

  • Empleados del Cliente que utilizan la plataforma
  • Representantes y contactos de proveedores del Cliente
  • Terceros cuyos datos aparezcan en los documentos analizados

5. Obligaciones de Evidant como Encargado

Evidant se compromete a:

  • Tratar los datos personales únicamente según las instrucciones documentadas del Cliente
  • Garantizar que las personas autorizadas para tratar datos personales se han comprometido a respetar la confidencialidad
  • Adoptar todas las medidas de seguridad requeridas por el artículo 32 del RGPD
  • No recurrir a otro encargado sin autorización previa por escrito del Cliente
  • Asistir al Cliente en el cumplimiento de sus obligaciones respecto a los derechos de los interesados
  • Poner a disposición del Cliente toda la información necesaria para demostrar el cumplimiento de estas obligaciones
  • Permitir y contribuir a la realización de auditorías por parte del Cliente o de un auditor autorizado
  • Suprimir o devolver todos los datos personales al finalizar la prestación de servicios

6. Medidas de Seguridad

Evidant implementa las siguientes medidas técnicas y organizativas para garantizar un nivel de seguridad adecuado al riesgo:

6.1 Medidas técnicas

  • Cifrado: AES-256 para datos sensibles en reposo (CIF, IBAN, emails)
  • Cifrado en tránsito: TLS 1.3 para todas las comunicaciones
  • Autenticación: JWT con expiración configurable + MFA opcional
  • Control de acceso: RBAC (Role-Based Access Control)
  • Aislamiento: Multi-tenancy con separación lógica por empresa_id
  • Copias de seguridad: Backups diarios cifrados con retención de 30 días
  • Monitorización: Sistemas de detección de intrusiones 24/7

6.2 Medidas organizativas

  • Política de acceso basada en el principio de mínimo privilegio
  • Procedimientos de gestión de incidentes de seguridad
  • Formación continua del personal en protección de datos
  • Revisiones periódicas de seguridad
  • Procedimientos de desarrollo seguro (OWASP)

7. Subencargados

Evidant puede recurrir a los siguientes subencargados para la prestación de los servicios:

SubencargadoUbicaciónFunción
Proveedor de hostingUnión EuropeaAlojamiento de infraestructura
Stripe, Inc.EE.UU. (DPF)Procesamiento de pagos

El Cliente autoriza expresamente la contratación de estos subencargados. Evidant notificará cualquier cambio con 30 días de antelación.

8. Transferencias Internacionales

Los datos personales se almacenan y procesan principalmente en servidores ubicados en la Unión Europea. En caso de transferencias a terceros países:

  • Solo se realizarán a países con decisión de adecuación de la Comisión Europea
  • O mediante Cláusulas Contractuales Tipo (SCCs) aprobadas por la Comisión
  • O cuando el destinatario esté adherido al EU-US Data Privacy Framework (DPF)

9. Notificación de Brechas de Seguridad

En caso de una violación de seguridad que afecte a datos personales, Evidant:

  • Notificará al Cliente sin dilación indebida, y en todo caso en un plazo máximo de 48 horas desde que tenga conocimiento de la brecha
  • Proporcionará información sobre la naturaleza de la violación, categorías de datos afectados, número aproximado de interesados y medidas adoptadas
  • Colaborará con el Cliente en la investigación y mitigación del incidente
  • Documentará todas las violaciones incluyendo hechos, efectos y medidas correctivas

10. Derechos de los Interesados

Evidant asistirá al Cliente para dar respuesta a las solicitudes de ejercicio de derechos de los interesados:

  • Acceso: Exportación de datos en formato estructurado
  • Rectificación: Modificación de datos inexactos
  • Supresión: Eliminación de datos cuando proceda
  • Limitación: Restricción del tratamiento
  • Portabilidad: Entrega de datos en formato interoperable
  • Oposición: Cese del tratamiento cuando sea aplicable

Las herramientas para ejercer estos derechos están disponibles en el panel de control del Cliente, sección GDPR.

11. Duración y Terminación

Este DPA entrará en vigor en la fecha de contratación de los servicios y permanecerá vigente mientras Evidant trate datos personales en nombre del Cliente.

A la finalización de los servicios, Evidant, a elección del Cliente:

  • Devolverá todos los datos personales y eliminará las copias existentes, o
  • Destruirá todos los datos personales y certificará dicha destrucción

El Cliente dispondrá de 30 días desde la terminación para solicitar la devolución de sus datos.

12. Auditorías

El Cliente o un auditor independiente designado por él podrá realizar auditorías para verificar el cumplimiento de este DPA, previo aviso con 30 días de antelación. Evidant facilitará el acceso razonable a sus instalaciones, sistemas y documentación relevante. Los costes de la auditoría serán asumidos por el Cliente, salvo que la auditoría revele un incumplimiento material por parte de Evidant.

13. Responsabilidad

La responsabilidad de cada parte bajo este DPA estará sujeta a las limitaciones establecidas en los Términos y Condiciones del servicio. Ambas partes se mantendrán indemnes frente a cualquier reclamación derivada del incumplimiento de las obligaciones establecidas en este DPA por la otra parte.

14. Contacto del Delegado de Protección de Datos

Para cualquier consulta relacionada con la protección de datos:

  • Email: dpo@evidant.es
  • Dirección: España

Firmas

Por el Responsable del Tratamiento (Cliente)

Por el Encargado del Tratamiento (Evidant)

Salvador Capellino Sales - Fundador

Evidant