Tratamenduaren Eginkizunaren Kontratua (DPA)
2026-05-11 bertsioa — Indarrean bezeroak DPA hau onartzen duenetik, modu elektronikoen bidez.
2016/679 (UE) Erregelamenduaren 28. artikuluaren arabera — RGPD
1. Aldeak
Tratamenduaren eginkizuna («Forjia»):
Alberto Landeras Rivas, NIF 72790491E, helbidearekin C/ Luis Cernuda 26, local 4A, 26200 Haro, La Rioja, Espainia, Forjia merkataritza marka pean jarduten duena.
Kontaktua: support@getforjia.com
Tratamenduaren arduraduna («Bezeroa»):
Forjiako kontuaren titularra den pertsona fisiko edo juridikoa, WhatsApp zenbakiaren bidez identifikatua, eta onboarding prozesuan emandako datu fiskalak (NIF/CIF, izen soziala eta helbidea).
2. Helburua
DPA honek Forjiak Bezeroaren izenean egiten duen datu pertsonalen tratamendua arautzen du, Zerbitzuaren ematearen ondorioz: fakturak, aurrekontuak, gastuak, bezeroak, eredu fiskalak eta WhatsApp bidezko komunikazioak sortu eta kudeatzea.
Bezeroaren kontuaren datu propioentzat (bere NIF, posta elektronikoa, telefonoa, erabilera metrikak), Forjiak arduradun gisa jarduten du eta Pribatutasun Politika aplikatzen zaio.
3. Tratatutako datuak
| Kategoria | Datuak | Jatorria | Helburua |
|---|---|---|---|
| Bezeroaren bezeroen datuak | Izen/izen soziala, NIF/CIF, helbidea, posta elektronikoa, telefonoa | Bezeroaren mezuak edo inportazioa | Fakturak, aurrekontuak, albaranak sortzea; kobrantzen kontrola |
| Fakturazio datuak | Kopuruak, kontzeptuak, zerga motak, datak, dokumentu zenbakiak | Bezeroaren mezuak | Dokumentu fiskala; AEAT-era bidalketa (VeriFactu/TicketBAI) |
| Mezuak eta multimedia | Testua, audio transkribatua, WhatsApp-en erantsitako irudiak | Bezeroaren WhatsApp elkarrizketa | Adimen Artifizialaren bidezko instrukzioen prozesamendua |
| Erabilera metadatuak | Denbora markak, identifikatzaile teknikoak, ekintza log-ak | Sistema | Jarraipena, auditoriak, segurtasuna |
4. Iraupena eta gordetzea
Tratamendua kontratu harremana irauten duen bitartean mantentzen da. Amaitzean:
- Datu fiskalak (fakturak, gastuak, liburuak, VeriFactu/TicketBAI erregistroak): 6 urte gordetzen dira Merkataritza Kodearen 30. artikuluaren aginduz, RGPDren 17.3.b artikuluaren ezabatzeko eskubidearen gainetik.
- Datu fiskal ez direnak (WhatsApp mezuak, erabilera metadatuak, kontu fiskal ez diren datuak): Forjiaren titularrari sarbide mugatua duen artxiboan gordetzen dira 18 hilabetez baja eman eta gero. Denbora horretan, datuak honako helburu hauetarako soilik sar daitezke:
- Bezeroaren beraren kexak edo erreklamazioak artatzea.
- AEAT edo beste agintari egokiren eskakizunak betetzea.
- Zerbitzuaren inguruko prozesu legaletan eskubideak defendatu edo gauzatzea.
5. Forjiaren betebeharrak
Forjiak honakoak bermatzen ditu:
- Datuak bezeroaren dokumentatutako argibideekin bakarrik tratatzea (Zerbitzuaren erabilera 3. atalean deskribatutako tratamenduetarako argibide nahikoa da).
- Ez erabiltzea datuak bere helburu propioetarako, hirugarrenei ematea edo IA ereduak entrenatzea, bereak edo kanpokoak.
- Datuetara sarbidea duten langileek konfidentzialtasun betebeharra eta ondorengo segurtasun neurriak betetzea bermatzea.
- Neurri tekniko eta antolakuntza egokiak aplikatzea (32. art. RGPD): transmisioan eta biltegian zifratzea, rolen arabera sarbide kontrola eta autentifikazio indartua pribilegioak dituzten kontuetarako, kopia seguruak puntu-puntuko berreskuratzearekin eta 6 urteko gordailu fiskala, sarbide eta operazio sentikorrak erregistratzea, pseudonimizazioa eta minimizazioa teknologikoki posible denean.
- Ez azpikontratatu tratamendua bezeroari aurretik jakinarazi gabe. Azpikontratatuen zerrenda indarrean dagoena 7. atalean dago eta DPA honen osagai da.
- Laguntzea Bezeroari interesdunen eskubideak (sarbidea, zuzenketa, ezabaketa, eramangarritasuna, aurkako jarrera, mugaketa) arrazoi bidez eta kostu gehigarririk gabe, teknologikoki posible denean.
- Jakinaraztea Bezeroari datu pertsonalei eragiten dien segurtasun haustura edozein atzerapenik gabe eta, kasu guztietan, gehienez 72 ordutan Forjiak jakin bezain laster, 33.3 art. RGPDren arabera eskuragarri dagoen informazioarekin.
- Zerbitzua amaitzean, datuak bezeroaren aukeraren arabera itzultzea edo ezabatzea, gordetzeko betebehar legalik ez badago (4. atala).
- 30.2 art. RGPDn aurreikusitako tratamendu jardueren erregistroa mantentzea.
6. Bezeroaren betebeharrak
Bezeroak honakoak bermatzen ditu:
- Oinarria izatea Forjiari bere bezeroen datu pertsonalak emateko (normalean kontratu betetzea edo harreman komertzial aurrekoa).
- Bezeroen informazioa Forjiak eginkizunaren arduradun gisa egiten duen tratamenduari buruz eta eskubideak bezeroaren bidez gauzatzeko aukera.
- Eskubideen erabileraren eskaerak artatzea bere bezeroengandik jasotakoak, eta Forjiari laguntza teknikoa eskatu ahal izatea.
- Ez sartzea Zerbitzuan kategoria bereziak (9. art. RGPD: osasun datuak, biometrikoak, ideologia, etab.). Forjia ez dago horretarako prestatuta eta ez du erantzukizunik onartezin sartzearen ondorioz.
7. Azpikontratatuak
Forjiak azpikontratatu teknikoak erabiltzen ditu Zerbitzua emateko. Guztiak RGPDari jarraikizko datu tratamendu kontratuak dituzte:
| Azpikontratatu | Funtzioa | Transferentzia bermea |
|---|---|---|
| Amazon Web Services | Azpiegitura eta biltegiratzea (EB) | Ez da aplikatzen (EB) |
| Meta / WhatsApp Business | Komunikazio kanal | DPF + SCC |
| OpenAI | Hizkuntza naturalaren prozesamendua | DPF |
| Groq | Hizkuntza naturalaren prozesamendua (babeskopia) | SCC |
| Stripe | Ordainketen prozesamendua | DPF + SCC |
| Resend | Posta elektroniko transakzionalen bidalketa | DPF + SCC |
Ez dago azpikontrataturik datuak bere helburuetarako erabiltzen edo IA ereduak entrenatzen. Forjiak ez ditu datuak hirugarrenei partekatzen publizitate, marketin edo profilaketa helburuetarako.
Zerrendaren aldaketak: Forjiak bezeroari jakinaraziko dio azpikontratatu berria edo aldaketa gutxienez 30 eguneko aurretiaz, posta elektroniko eta portalaren bidezko abisuarekin. Bezeroak arrazoizko oztopoak jar ditzake; aldeek adostasunik ez badute, bezeroak kontratua inolako kalterik gabe amaitu ahal izango du.
8. Nazioarteko transferentziak
Datuak batez ere EBn daude. AEBetara egindako transferentziak azpikontratatu ziurtatuek eragindakoak EU-U.S. Data Privacy Framework (DPF) bidez babestuta daude inportatzailea ziurtatua denean, eta Cláusulas Contractuales Tipo (2021/914 (UE) Erabakia) beste kasuetan. Forjiak dokumentazioa bezeroaren eskura mantentzen du.
9. Gestoriak, aholkulariak eta bezeroak gonbidatutako beste hirugarrak
Bezeroak gestoria, aholkulari fiskal edo beste hirugarren bat Zerbitzura gonbidatzen duenean (aholkularitza portalaren edo antzeko funtzionalitatearen bidez), hirugarren horrek Bezeroaren datuetara sarbidea izango du tratamenduaren arduradun independente gisa, Bezeroarekin duen kontratu harremanaren arabera.
Forjia arduratzen da sarbide kontrolaz, autentifikazioaz eta hirugarrenaren ekintzen jarraipenez Zerbitzu barruan. Forjia ez du erantzukizunik hirugarrenak Zerbitzutik kanpo datuekin egiten duen erabileragatik, ezta bere betebeharrak betetzeko ere.
Bezeroak bermatzen du hirugarrenarekin kontratu edo tresna juridiko bat sinatu duela sarbide hori babesteko, eta eskubidea du sarbidea bertan behera uzteko Zerbitzuaren bidez.
10. Auditoria
Bezeroak DPA honen betetze egokia egiaztatzeko eskubidea du. Forjiak beharrezko informazioa emango du eta dokumentazio auditoriatan lagunduko du, 30 eguneko aurretiazko abisuarekin. Aurrez aurreko edo intrusiboak diren auditoriak aurretiko adostasunarekin eta bezeroaren kontura egingo dira, Forjiak huts egitea frogatu ezean.
11. Onarpen elektronikoa
DPA hau modu elektronikoan onartzen da. Legezko eraginkorra da (28.9 art. RGPD eta 34/2002 LSSI legearen 23. art.):
- WhatsApp bidezko onarpena: Bezeroaren erantzun adierazgarria botak DPA aurkezten duen mezuari eta testu osoari lotzen dionari. Forjiak frogagiri gisa gordetzen du: Meta-k sinatutako mezua identifikatzailea, timestamp-a, telefono zenbakia, onartutako DPA bertsioa eta dokumentuaren hash-a.
- Web portal bidezko onarpena: «Onartzen dut DPA X bertsioa» kutxa markatzea alta ematean edo bertsio berria onartzean. Forjiak gordetzen du: timestamp, IP, User-Agent, bertsioa eta dokumentuaren hash-a.
Onarpena enpresa mailakoa da (Bezeroa). Bezeroak kontuan erabiltzaile gehiago gonbidatzen baditu, hauek DPA onartutako enpresarekin lotuta geratzen dira.
12. Aldaketak eta bertsioak
Forjiak DPA hau aldatu ahal izango du araudi, operazio edo azpikontratatu aldaketak islatzeko. Aldaketa guztiak gutxienez 30 eguneko aurretiaz jakinaraziko dira WhatsApp eta/edo posta elektroniko bidez.
Bi aldaketa mota bereizten dira:
- Aldaketa esanguratsuak: Bezeroaren onarpen argia behar dute Zerbitzua erabiltzen jarraitzeko. Esanguratsuak dira:
- Azpikontratatu berriak hirugarren herrialdera transferentzia egiten dutenak.
- Tratamendu helburuak zabaltzea.
- Bezeroaren edo interesdunen eskubideak murriztea.
- Tratamenduaren oinarria juridikoa aldatzea.
- Aldaketa ez esanguratsuak (idazkeraren argibideak, azpikontratatu berdin baten ordez beste bat jartzea eskualde berean, segurtasun hobekuntzak, doikuntza operatiboak): Zerbitzuaren erabilera jarraituarekin onartutzat joko dira 30 egun igaro ondoren, Bezeroak bestelakorik adierazi ezean.
Edozein kasutan, Bezeroak kontratua inolako kalterik gabe amaitu ahal izango du aldaketa bat onartzen ez badu, eta bere datuak esportatzeko eskatu.
13. Aplikatzen den legea eta jurisdikzioa
DPA hau RGPD, LOPDGDD 3/2018 eta, osagarri moduan, Espainiako legediaren menpe dago. Edozein gatazkarako, aldeek Logroñoko (La Rioja) Epaitegien menpe jartzen dira, kontsumitzailearen jurisdikzioa aplikatzen denean kalterik gabe.