Acuerdo de encargo de tratamiento

Última actualización: 16/05/2026

Este documento constituye una base contractual inicial para regular el acceso de GestisApp a datos personales tratados por cuenta del cliente. Puede completarse o sustituirse por un contrato firmado específico.

1. Partes

De una parte, el cliente que contrata o utiliza GestisApp y decide sobre los datos incorporados a la plataforma, actuando como responsable del tratamiento.

De otra parte, MULTISERVICIOS JORCARMA, S.L., CIF B19576347, como prestador de GestisApp, que podrá actuar como encargado del tratamiento respecto a los datos tratados por cuenta del cliente.

2. Objeto del encargo

El encargado tratará datos personales por cuenta del cliente para prestar los servicios contratados en GestisApp, incluyendo, según los módulos activados, facturación, carpeta documental, OCR, gestión de documentos, gestión de usuarios, trazabilidad, soporte técnico y automatizaciones relacionadas.

3. Categorías de datos

Datos identificativos y de contacto de usuarios, clientes, proveedores, representantes y terceros.
Datos fiscales, contables, económicos y de facturación.
Documentos, facturas, justificantes, albaranes y archivos subidos por el cliente.
Datos técnicos de acceso, logs, eventos, estados de procesos y trazabilidad.
Datos contenidos en certificados digitales cuando sean cargados por el cliente.

4. Instrucciones del responsable

El encargado tratará los datos únicamente siguiendo las instrucciones documentadas del cliente, salvo obligación legal aplicable. El uso de la plataforma, configuración de módulos, emisión de facturas, subida de documentos y activación de integraciones se considerarán instrucciones documentadas dentro del servicio contratado.

5. Obligaciones del encargado

Tratar los datos solo para prestar GestisApp y servicios asociados.
Aplicar medidas técnicas y organizativas adecuadas.
Garantizar que las personas autorizadas a tratar datos se comprometen a la confidencialidad.
Asistir al cliente, en la medida razonable, en el ejercicio de derechos y cumplimiento de obligaciones legales.
No comunicar datos a terceros salvo instrucción del cliente, necesidad del servicio, subencargo autorizado u obligación legal.
Notificar incidencias de seguridad relevantes conforme a la normativa aplicable.

6. Subencargados

El cliente autoriza el uso de proveedores tecnológicos necesarios para prestar el servicio, tales como alojamiento, almacenamiento, correo, seguridad, mantenimiento, OCR, IA o pasarelas de pago si se incorporan. El encargado procurará que dichos proveedores asuman obligaciones adecuadas de confidencialidad, seguridad y protección de datos.

7. OCR e IA

El cliente autoriza el tratamiento automatizado de documentos mediante OCR, reglas, motores de extracción y herramientas de IA cuando sean necesarias para prestar o mejorar el servicio contratado. El encargado deberá limitar el tratamiento a la finalidad del servicio y aplicar las garantías razonables disponibles.

8. Certificados digitales

Cuando el cliente cargue certificados digitales, declara disponer de autorización suficiente para su uso. El encargado los tratará exclusivamente para las finalidades del servicio, como validación, custodia técnica y remisión de registros a AEAT cuando proceda.

9. Medidas de seguridad

Las medidas podrán incluir control de acceso por usuario, autenticación, permisos por empresa, cifrado o protección de credenciales, copias de seguridad, registro de eventos, segregación de módulos y controles de disponibilidad.

10. Destino de los datos al finalizar el servicio

Al finalizar la relación, el encargado podrá devolver, conservar bloqueados o suprimir datos conforme a las instrucciones del cliente, condiciones del servicio y obligaciones legales aplicables. Determinados registros técnicos, fiscales, trazabilidad o evidencias podrán conservarse durante los plazos necesarios para atender responsabilidades.

11. Responsabilidad del cliente

El cliente garantiza la licitud de los datos incorporados, la información a los interesados, la base jurídica del tratamiento, la exactitud de los datos y las autorizaciones necesarias para el uso de certificados, documentos y comunicaciones a terceros.

12. Revisión jurídica

Este acuerdo es una base inicial y debe revisarse antes de despliegues masivos, incorporación de nuevos proveedores, uso intensivo de IA, tratamiento de categorías especiales de datos o contratación con clientes externos de gran volumen.