Contrato de Encargo do Tratamento (DPA)
Versión 2026-05-11 — En vigor desde a data na que o Cliente acepta este DPA por medios electrónicos.
Conforme ao artigo 28 do Regulamento (UE) 2016/679 — RGPD
1. Partes
Encargado do tratamento («Forjia»):
Alberto Landeras Rivas, NIF 72790491E, con domicilio en C/ Luis Cernuda 26, local 4A, 26200 Haro, La Rioja, España, que opera baixo a marca comercial Forjia.
Contacto: support@getforjia.com
Responsable do tratamento («o Cliente»):
A persoa física ou xurídica titular da conta de Forjia, identificada polo número de WhatsApp co que se dá de alta e os datos fiscais (NIF/CIF, razón social e domicilio) que facilita durante o onboarding.
2. Obxecto
Este DPA regula o tratamento de datos persoais que Forjia realiza por conta do Cliente como consecuencia da prestación do Servizo: xeración e xestión de facturas, orzamentos, gastos, clientes, modelos fiscais e comunicacións por WhatsApp.
Para os datos da conta do propio Cliente (o seu NIF, o seu email, o seu teléfono, as súas métricas de uso), Forjia actúa como responsable e réxese pola Política de Privacidade.
3. Datos tratados
| Categoría | Datos | Orixe | Finalidade |
|---|---|---|---|
| Datos de clientes do Cliente | Nome/razón social, NIF/CIF, dirección, email, teléfono | Mensaxes do Cliente ou importación | Xerar facturas, orzamentos, albaráns; control de cobros |
| Datos de facturación | Importes, conceptos, tipos impositivos, datas, números de documento | Mensaxes do Cliente | Documento fiscal; envío a AEAT (VeriFactu/TicketBAI) |
| Mensaxes e media | Texto, audio transcrito, imaxes adxuntas en WhatsApp | Conversa WhatsApp do Cliente | Procesamento de instrucións por IA |
| Metadatos de uso | Timestamps, identificadores técnicos, logs de acción | Sistema | Trazabilidade, auditoría, seguridade |
4. Duración e conservación
O tratamento mantense mentres dure a relación contractual. Ao rematar:
- Datos fiscais (facturas, gastos, libros, rexistros VeriFactu/TicketBAI): consérvanse 6 anos por imposición do art. 30 do Código de Comercio, que prevalece sobre o dereito de supresión do art. 17.3.b RGPD.
- Datos non fiscais (mensaxes WhatsApp, metadatos de uso, datos de conta non fiscais): móvense a un arquivo de acceso restrinxido ao titular de Forjia durante 18 meses desde a baixa. Nese período, os datos só se acceden coas seguintes finalidades:
- Atender incidencias ou reclamacións do propio Cliente.
- Cumprir requirimentos da AEAT ou outra autoridade competente.
- Defender ou exercer dereitos en procesos legais relacionados co Servizo prestado.
5. Obrigas de Forjia
Forjia comprométese a:
- Tratar os datos únicamente conforme ás instrucións documentadas do Cliente (o uso do Servizo constitúe instrución suficiente para os tratamentos descritos na sección 3).
- Non utilizar os datos para fins propios, ceder a terceiros, nin adestrar modelos de IA, propios ou alleos.
- Garantir que o persoal con acceso a datos está suxeito a obriga de confidencialidade e ás medidas de seguridade descritas a continuación.
- Aplicar medidas técnicas e organizativas adecuadas (art. 32 RGPD): cifrado en tránsito e en repouso, control de acceso por roles con autenticación reforzada para contas con privilexios, copias de seguridade con recuperación punto a punto e retención fiscal de 6 anos, rexistro de accesos e operacións sensibles, pseudonimización e minimización onde é tecnicamente posible.
- Non subcontratar o tratamento sen informar previamente ao Cliente. A lista vixente de subencargados inclúese na sección 7 e forma parte integrante deste DPA.
- Asistir ao Cliente no exercicio de dereitos dos interesados (acceso, rectificación, supresión, portabilidade, oposición, limitación) en prazo razoable e sen custo adicional cando sexa tecnicamente accesible.
- Notificar ao Cliente calquera brecha de seguridade que afecte a datos persoais sen dilación indebida e, en todo caso, nun prazo máximo de 72 horas desde que Forjia teña coñecemento, coa información dispoñible conforme ao art. 33.3 RGPD.
- Ao remate do Servizo, devolver ou eliminar os datos conforme á elección do Cliente, salvo obriga legal de conservación (sección 4).
- Manter o rexistro de actividades de tratamento previsto no art. 30.2 RGPD.
6. Obrigas do Cliente
O Cliente comprométese a:
- Ter base legal suficiente para facilitar a Forjia os datos persoais dos seus clientes finais (típicamente execución de contrato ou relación comercial preexistente).
- Informar aos seus clientes finais do tratamento dos seus datos por Forjia como encargado e da posibilidade de exercer dereitos a través do Cliente.
- Atender as solicitudes de exercicio de dereitos que reciba dos seus clientes finais como responsable deses datos, podendo solicitar a Forjia asistencia técnica.
- Non introducir no Servizo categorías especiais de datos (art. 9 RGPD: datos de saúde, biométricos, ideoloxía, etc.). Forjia non está dimensionada para tratar estas categorías e non asume responsabilidade pola súa introdución indebida.
7. Subencargados
Forjia utiliza subencargados técnicos para a prestación do Servizo. Todos están suxeitos a contratos de tratamento de datos conformes ao RGPD:
| Subencargado | Función | Garantía de transferencia |
|---|---|---|
| Amazon Web Services | Infraestrutura e almacenamento (UE) | Non aplica (UE) |
| Meta / WhatsApp Business | Canle de comunicación | DPF + SCC |
| OpenAI | Procesamento de linguaxe natural | DPF |
| Groq | Procesamento de linguaxe natural (respaldo) | SCC |
| Stripe | Procesamento de pagos | DPF + SCC |
| Resend | Envio de emails transaccionais | DPF + SCC |
Ningún subencargado utiliza os datos para fins propios nin para adestrar modelos de IA. Forjia non comparte datos con terceiros con fins publicitarios, de marketing ou de perfilado.
Modificación da lista: Forjia notificará ao Cliente calquera alta ou cambio de subencargado con polo menos 30 días de antelación, por email rexistrado e aviso no portal. O Cliente poderá opoñerse motivadamente; se as partes non chegan a acordo, o Cliente poderá resolver o contrato sen penalización.
8. Transferencias internacionais
Os datos alóxanse principalmente na UE. As transferencias a EE.UU. derivadas do uso de subencargados certificados amparanse no EU-U.S. Data Privacy Framework (DPF) cando o importador estea certificado, e nas Cláusulas Contractuais Tipo (Decisión (UE) 2021/914) nos demais casos. Forjia mantén a documentación acreditativa á disposición do Cliente.
9. Xestorías, asesores e outros terceiros convidados polo Cliente
Cando o Cliente invite a unha xestoría, asesor fiscal ou outro terceiro ao Servizo (mediante a funcionalidade de portal de asesoría ou equivalente), dicho terceiro accederá aos datos do Cliente na súa calidade de responsable independente do tratamento, en virtude da relación contractual que manteña co Cliente.
Forjia é responsable do control de acceso, a autenticación e a trazabilidade das accións do terceiro dentro do Servizo. Forjia non asume responsabilidade sobre o uso que dito terceiro faga dos datos fóra do Servizo, nin sobre o cumprimento por parte do terceiro das súas propias obrigas como responsable.
O Cliente garante ter asinado co terceiro o contrato ou instrumento xurídico que ampare ese acceso, e mantén o dereito a revocalo en calquera momento desde o propio Servizo.
10. Auditoría
O Cliente ten dereito a verificar o cumprimento deste DPA. Forjia facilitará a información razoablemente necesaria e colaborará con auditorías documentais con preaviso de 30 días. As auditorías presenciais ou intrusivas requiren acordo previo e realízanse a cargo do Cliente, salvo que se acredite incumprimento por parte de Forjia.
11. Aceptación electrónica
Este DPA acepta por medios electrónicos. Son válidas a todos os efectos legais (art. 28.9 RGPD e art. 23 Lei 34/2002 LSSI):
- Aceptación por WhatsApp: resposta afirmativa explícita do Cliente á mensaxe do bot que lle presenta o DPA e enlaza ao seu texto íntegro. Forjia conserva como proba: identificador da mensaxe asinada por Meta, timestamp, número de teléfono, versión do DPA aceptada e hash do documento.
- Aceptación por portal web: marca explícita da caixa «Acepto o DPA versión X» ao darse de alta ou ao aceptar unha nova versión. Forjia conserva: timestamp, IP, User-Agent, versión e hash do documento.
A aceptación realízase a nivel de empresa (Cliente). Se o Cliente convida usuarios adicionais á súa conta, estes quedan vinculados polo DPA xa aceptado pola empresa.
12. Modificacións e versionado
Forjia poderá modificar este DPA para reflectir cambios normativos, operativos ou de subencargados. Toda modificación notifícase con polo menos 30 días de antelación por WhatsApp e/ou email.
Distingúense dous tipos de cambios:
- Cambios substanciais: requiren aceptación expresa do Cliente para seguir utilizando o Servizo. Consideranse substanciais:
- Alta de subencargados con transferencia internacional a un terceiro país.
- Ampliación das finalidades do tratamento.
- Redución dos dereitos do Cliente ou dos interesados.
- Cambio da base xurídica do tratamento.
- Cambios non substanciais (clarificacións de redacción, substitución de subencargado por outro equivalente na mesma rexión, melloras de seguridade, axustes operativos): considéranse aceptados por uso continuado do Servizo transcorridos 30 días desde a notificación, salvo que o Cliente manifeste o contrario.
En calquera caso, o Cliente poderá resolver o contrato sen penalización se non acepta unha modificación, e solicitar a exportación dos seus datos.
13. Lei aplicable e xurisdición
Este DPA réxese polo RGPD, a LOPDGDD 3/2018 e, supletoriamente, a lexislación española. Para calquera controversia, as partes sométense aos Xulgados e Tribunais de Logroño (La Rioja), sen prexuízo do foro do consumidor cando aplique.