Contrato de Encargo del Tratamiento (DPA)
Versión 2026-05-11 — En vigor desde la fecha en que el Cliente acepta este DPA por medios electrónicos.
Conforme al artículo 28 del Reglamento (UE) 2016/679 — RGPD
1. Partes
Encargado del tratamiento («Forjia»):
Alberto Landeras Rivas, NIF 72790491E, con domicilio en C/ Luis Cernuda 26, local 4A, 26200 Haro, La Rioja, España, que opera bajo la marca comercial Forjia.
Contacto: support@getforjia.com
Responsable del tratamiento («el Cliente»):
La persona física o jurídica titular de la cuenta de Forjia, identificada por el número de WhatsApp con el que se da de alta y los datos fiscales (NIF/CIF, razón social y domicilio) que facilita durante el onboarding.
2. Objeto
Este DPA regula el tratamiento de datos personales que Forjia realiza por cuenta del Cliente como consecuencia de la prestación del Servicio: generación y gestión de facturas, presupuestos, gastos, clientes, modelos fiscales y comunicaciones por WhatsApp.
Para los datos de cuenta del propio Cliente (su NIF, su email, su teléfono, sus métricas de uso), Forjia actúa como responsable y se rige por la Política de Privacidad.
3. Datos tratados
| Categoría | Datos | Origen | Finalidad |
|---|---|---|---|
| Datos de clientes del Cliente | Nombre/razón social, NIF/CIF, dirección, email, teléfono | Mensajes del Cliente o importación | Generar facturas, presupuestos, albaranes; control de cobros |
| Datos de facturación | Importes, conceptos, tipos impositivos, fechas, números de documento | Mensajes del Cliente | Documento fiscal; envío a AEAT (VeriFactu/TicketBAI) |
| Mensajes y media | Texto, audio transcrito, imágenes adjuntas en WhatsApp | Conversación WhatsApp del Cliente | Procesamiento de instrucciones por IA |
| Metadatos de uso | Timestamps, identificadores técnicos, logs de acción | Sistema | Trazabilidad, auditoría, seguridad |
4. Duración y conservación
El tratamiento se mantiene mientras dure la relación contractual. Al terminar:
- Datos fiscales (facturas, gastos, libros, registros VeriFactu/TicketBAI): se conservan 6 años por imposición del art. 30 del Código de Comercio, que prevalece sobre el derecho de supresión del art. 17.3.b RGPD.
- Datos no fiscales (mensajes WhatsApp, metadatos de uso, datos de cuenta no fiscales): se mueven a un archivo de acceso restringido al titular de Forjia durante 18 meses desde la baja. En ese periodo, los datos sólo se acceden con las siguientes finalidades:
- Atender incidencias o reclamaciones del propio Cliente.
- Cumplir requerimientos de la AEAT u otra autoridad competente.
- Defender o ejercer derechos en procesos legales relacionados con el Servicio prestado.
5. Obligaciones de Forjia
Forjia se compromete a:
- Tratar los datos únicamente conforme a las instrucciones documentadas del Cliente (el uso del Servicio constituye instrucción suficiente para los tratamientos descritos en la sección 3).
- No utilizar los datos para fines propios, ceder a terceros, ni entrenar modelos de IA, propios o ajenos.
- Garantizar que el personal con acceso a datos está sujeto a obligación de confidencialidad y a las medidas de seguridad descritas a continuación.
- Aplicar medidas técnicas y organizativas adecuadas (art. 32 RGPD): cifrado en tránsito y en reposo, control de acceso por roles con autenticación reforzada para cuentas con privilegios, copias de seguridad con recuperación punto a punto y retención fiscal de 6 años, registro de accesos y operaciones sensibles, pseudonimización y minimización donde es técnicamente posible.
- No subcontratar el tratamiento sin informar previamente al Cliente. La lista vigente de subencargados se incluye en la sección 7 y forma parte integrante de este DPA.
- Asistir al Cliente en el ejercicio de derechos de los interesados (acceso, rectificación, supresión, portabilidad, oposición, limitación) en plazo razonable y sin coste adicional cuando sea técnicamente accesible.
- Notificar al Cliente cualquier brecha de seguridad que afecte a datos personales sin dilación indebida y, en todo caso, en un plazo máximo de 72 horas desde que Forjia tenga conocimiento, con la información disponible conforme al art. 33.3 RGPD.
- A la terminación del Servicio, devolver o eliminar los datos conforme a la elección del Cliente, salvo obligación legal de conservación (sección 4).
- Mantener el registro de actividades de tratamiento previsto en el art. 30.2 RGPD.
6. Obligaciones del Cliente
El Cliente se compromete a:
- Tener base legal suficiente para facilitar a Forjia los datos personales de sus clientes finales (típicamente ejecución de contrato o relación comercial preexistente).
- Informar a sus clientes finales del tratamiento de sus datos por Forjia como encargado y de la posibilidad de ejercer derechos a través del Cliente.
- Atender las solicitudes de ejercicio de derechos que reciba de sus clientes finales como responsable de esos datos, pudiendo solicitar a Forjia asistencia técnica.
- No introducir en el Servicio categorías especiales de datos (art. 9 RGPD: datos de salud, biométricos, ideología, etc.). Forjia no está dimensionado para tratar estas categorías y no asume responsabilidad por su introducción indebida.
7. Subencargados
Forjia utiliza subencargados técnicos para la prestación del Servicio. Todos están sujetos a contratos de tratamiento de datos conformes al RGPD:
| Subencargado | Función | Garantía de transferencia |
|---|---|---|
| Amazon Web Services | Infraestructura y almacenamiento (UE) | No aplica (UE) |
| Meta / WhatsApp Business | Canal de comunicación | DPF + SCC |
| OpenAI | Procesamiento de lenguaje natural | DPF |
| Groq | Procesamiento de lenguaje natural (respaldo) | SCC |
| Stripe | Procesamiento de pagos | DPF + SCC |
| Resend | Envío de emails transaccionales | DPF + SCC |
Ningún subencargado utiliza los datos para fines propios ni para entrenar modelos de IA. Forjia no comparte datos con terceros con fines publicitarios, de marketing o de perfilado.
Modificación de la lista: Forjia notificará al Cliente cualquier alta o cambio de subencargado con al menos 30 días de antelación, por email registrado y aviso en el portal. El Cliente podrá oponerse motivadamente; si las partes no llegan a acuerdo, el Cliente podrá resolver el contrato sin penalización.
8. Transferencias internacionales
Los datos se alojan principalmente en la UE. Las transferencias a EE.UU. derivadas del uso de subencargados certificados se amparan en el EU-U.S. Data Privacy Framework (DPF) cuando el importador esté certificado, y en las Cláusulas Contractuales Tipo (Decisión (UE) 2021/914) en los demás casos. Forjia mantiene la documentación acreditativa a disposición del Cliente.
9. Gestorías, asesores y otros terceros invitados por el Cliente
Cuando el Cliente invite a una gestoría, asesor fiscal u otro tercero al Servicio (mediante la funcionalidad de portal de asesoría o equivalente), dicho tercero accederá a los datos del Cliente en su calidad de responsable independiente del tratamiento, en virtud de la relación contractual que mantenga con el Cliente.
Forjia es responsable del control de acceso, la autenticación y la trazabilidad de las acciones del tercero dentro del Servicio. Forjia no asume responsabilidad sobre el uso que dicho tercero haga de los datos fuera del Servicio, ni sobre el cumplimiento por parte del tercero de sus propias obligaciones como responsable.
El Cliente garantiza haber suscrito con el tercero el contrato o instrumento jurídico que ampare ese acceso, y mantiene el derecho a revocarlo en cualquier momento desde el propio Servicio.
10. Auditoría
El Cliente tiene derecho a verificar el cumplimiento de este DPA. Forjia facilitará la información razonablemente necesaria y colaborará con auditorías documentales con preaviso de 30 días. Las auditorías presenciales o intrusivas requieren acuerdo previo y se realizan a cargo del Cliente, salvo que se acredite incumplimiento por parte de Forjia.
11. Aceptación electrónica
Este DPA se acepta por medios electrónicos. Son válidas a todos los efectos legales (art. 28.9 RGPD y art. 23 Ley 34/2002 LSSI):
- Aceptación por WhatsApp: respuesta afirmativa explícita del Cliente al mensaje del bot que le presenta el DPA y enlaza a su texto íntegro. Forjia conserva como prueba: identificador del mensaje firmado por Meta, timestamp, número de teléfono, versión del DPA aceptada y hash del documento.
- Aceptación por portal web: marca explícita de la casilla «Acepto el DPA versión X» al darse de alta o al aceptar una nueva versión. Forjia conserva: timestamp, IP, User-Agent, versión y hash del documento.
La aceptación se realiza a nivel de empresa (Cliente). Si el Cliente invita a usuarios adicionales a su cuenta, éstos quedan vinculados por el DPA ya aceptado por la empresa.
12. Modificaciones y versionado
Forjia podrá modificar este DPA para reflejar cambios normativos, operativos o de subencargados. Toda modificación se notifica con al menos 30 días de antelación por WhatsApp y/o email.
Se distinguen dos tipos de cambios:
- Cambios sustanciales: requieren aceptación expresa del Cliente para seguir utilizando el Servicio. Se consideran sustanciales:
- Alta de subencargados con transferencia internacional a un tercer país.
- Ampliación de las finalidades del tratamiento.
- Reducción de los derechos del Cliente o de los interesados.
- Cambio de la base jurídica del tratamiento.
- Cambios no sustanciales (clarificaciones de redacción, sustitución de subencargado por otro equivalente en la misma región, mejoras de seguridad, ajustes operativos): se consideran aceptados por uso continuado del Servicio transcurridos 30 días desde la notificación, salvo que el Cliente manifieste lo contrario.
En cualquier caso, el Cliente podrá resolver el contrato sin penalización si no acepta una modificación, y solicitar la exportación de sus datos.
13. Ley aplicable y jurisdicción
Este DPA se rige por el RGPD, la LOPDGDD 3/2018 y, supletoriamente, la legislación española. Para cualquier controversia, las partes se someten a los Juzgados y Tribunales de Logroño (La Rioja), sin perjuicio del fuero del consumidor cuando aplique.