Acuerdo de Encargo de Tratamiento
Última actualización: 9 de abril de 2026 · Versión 1.0
Este Acuerdo de Encargo de Tratamiento (DPA) regula el tratamiento de datos personales realizado por TENAS PARTNERS SL en calidad de Encargado del tratamiento por cuenta del Cliente (Responsable del tratamiento), conforme al art. 28 del Reglamento General de Protección de Datos (UE 2016/679 — RGPD).
1. Partes
Encargado del tratamiento
- Razón social: TENAS PARTNERS SL
- CIF: B01927037
- Domicilio: C/ Andrés Mellado 106, 6ª planta, 28003 Madrid (España)
- Email de contacto: privacidad@fbatax.io
Responsable del tratamiento
El Cliente que ha contratado el servicio FBAtax mediante registro en la plataforma o firma de pedido, identificado por su CIF/NIF y razón social en su perfil de cuenta.
2. Objeto
El Encargado tratará los datos personales del Responsable únicamente para prestar los servicios contratados de FBAtax: procesamiento de informes fiscales (Modelo 369 OSS, 303, 349, 390, 347), generación de Excel y TXT AEAT, y agente fiscal IA.
3. Naturaleza, finalidad y duración
- Naturaleza: Almacenamiento, organización, estructuración, consulta, modificación, uso, supresión.
- Finalidad: Generación de declaraciones fiscales españolas conforme a la normativa AEAT a partir de informes de Amazon Seller Central proporcionados por el Responsable.
- Duración: Mientras la cuenta del Cliente esté activa, salvo obligaciones legales de conservación posteriores.
4. Tipos de datos tratados
- Datos identificativos del Cliente (nombre, email, CIF/NIF, razón social)
- Datos contenidos en los informes VAT Transaction Report y Settlement Report de Amazon (códigos de transacción, importes, países, identificadores Amazon, NIF-IVA)
- Datos generados por el procesamiento (resultados, casillas fiscales, históricos)
5. Categorías de interesados
Los datos procesados pertenecen exclusivamente al Cliente (persona jurídica) y a sus operaciones comerciales. FBAtax no procesa datos de consumidores finales identificables más allá de los estrictamente necesarios contenidos en los informes Amazon (IDs de pedido).
6. Obligaciones del Encargado
- Tratar los datos exclusivamente conforme a las instrucciones documentadas del Responsable.
- Garantizar la confidencialidad mediante compromisos contractuales con el personal autorizado.
- Implementar medidas técnicas y organizativas adecuadas (art. 32 RGPD) — ver sección 9.
- Asistir al Responsable en el cumplimiento de las solicitudes de derechos de los interesados.
- Notificar al Responsable cualquier brecha de seguridad sin dilación indebida y, en cualquier caso, dentro de las 72 horas siguientes a su conocimiento.
- Devolver o suprimir los datos personales al finalizar la prestación del servicio.
- Poner a disposición del Responsable la información necesaria para demostrar el cumplimiento.
7. Subencargados
El Responsable autoriza al Encargado a contratar los subencargados listados en /legal/sub-processors. El Encargado notificará con al menos 30 días de antelación cualquier alta o sustitución, permitiendo al Responsable oponerse motivadamente.
8. Transferencias internacionales
Algunos subencargados pueden estar ubicados fuera del EEE. En tales casos, el Encargado garantiza que las transferencias se realizan al amparo del EU-U.S. Data Privacy Framework (DPF) o de Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea, conforme al Capítulo V del RGPD.
9. Medidas de seguridad (art. 32 RGPD)
- Cifrado en tránsito mediante TLS 1.2+ con HSTS
- Cifrado en reposo de la base de datos Supabase
- Autenticación basada en JWT con rotación de tokens
- Row Level Security (RLS) en PostgreSQL para aislamiento por usuario
- Cabeceras de seguridad (CSP, X-Frame-Options, nosniff)
- Limitación de tasa de peticiones
- Logs de auditoría de operaciones críticas
- Monitoreo continuo de errores con Sentry (con scrubbing de PII)
- Backups automáticos diarios de la base de datos
- Comparación de claves con tiempo constante para endpoints de admin
10. Derechos del Responsable
El Responsable tiene derecho a:
- Auditar el cumplimiento del Encargado, previa notificación con 30 días de antelación, no más de una vez al año, salvo brecha de seguridad.
- Recibir copia de los certificados de seguridad y políticas internas.
- Solicitar la devolución o supresión de sus datos al término del contrato.
11. Brechas de seguridad
El Encargado notificará al Responsable cualquier brecha de seguridad personal sin dilación indebida y, en cualquier caso, en menos de 72 horas. La notificación incluirá:
- Naturaleza de la brecha y categorías de datos afectados
- Número aproximado de interesados afectados
- Medidas adoptadas o propuestas para mitigar los efectos
- Datos de contacto del responsable de coordinación de la respuesta
12. Terminación
A la terminación del servicio, el Encargado:
- Devolverá los datos personales al Responsable en formato JSON estructurado mediante el endpoint
/api/profile/export o por correo a petición. - Suprimirá los datos personales de sus sistemas en un plazo máximo de 30 días, salvo obligación legal de conservación.
- Confirmará por escrito la supresión efectiva.
13. Aceptación
Este DPA forma parte integrante de los Términos de Servicio y se considera aceptado al registrarse en FBAtax. Para clientes B2B que requieran un DPA firmado independiente, contactar a privacidad@fbatax.io.
14. Ley aplicable
Este DPA se rige por la legislación española y por el Reglamento (UE) 2016/679 (RGPD). Para cualquier controversia, las partes se someten a los Juzgados y Tribunales de Madrid (España), con renuncia expresa a cualquier otro fuero.