Contrato de Encargo del Tratamiento (DPA)

Este Contrato de Encargo del Tratamiento (“Contrato”) forma parte de, y está subordinado a, el contrato principal (Términos del Servicio / suscripción) entre las partes para el uso de Tesoro CRM (“el Servicio”). En caso de conflicto sobre el tratamiento de datos personales, prevalece este Contrato.

Partes

Responsable del tratamiento — el cliente (agencia inmobiliaria) que utiliza una cuenta en el Servicio, según se identifica en el contrato principal (“Responsable”).
Encargado del tratamiento — Codificamos S.L., CIF B02641900, con domicilio en Calle Meliso 10, 03739, Jávea, Alicante, España, inscrita en el Registro Mercantil de Alicante, Tomo 4329, Folio 65, Hoja A-171807 (“Encargado” / “Tesoro”).

1. Definiciones

Los términos “datos personales”, “tratamiento”, “interesado”, “responsable del tratamiento”, “encargado del tratamiento”, “subencargado” y “violación de seguridad de los datos” tienen el significado del RGPD/GDPR (Reglamento (UE) 2016/679). “Subencargado” = un tercero al que el Encargado recurre para tratar datos personales.

2. Objeto, naturaleza y finalidad

2.1 El Encargado trata los datos personales únicamente en nombre y por cuenta del Responsable, con el fin de prestar el Servicio (un CRM para profesionales del sector inmobiliario).

2.2 La naturaleza, la finalidad, las categorías de interesados y de datos personales, y la duración se especifican en el Anexo 1.

2.3 El Responsable es y sigue siendo el responsable del tratamiento; garantiza la existencia de una base jurídica válida para los tratamientos que realiza a través del Servicio.

3. Instrucciones (art. 28(3)(a))

3.1 El Encargado trata los datos personales únicamente siguiendo las instrucciones documentadas del Responsable, incluidas las contenidas en este Contrato y en el uso del Servicio conforme a la documentación.

3.2 El Encargado informará al Responsable si, en su opinión, una instrucción infringe el RGPD, salvo prohibición legal.

3.3 Si el Encargado trata los datos en virtud de una obligación legal del Derecho de la Unión o de un Estado miembro al margen de las instrucciones, lo comunicará previamente, salvo que dicha legislación lo prohíba.

4. Confidencialidad (art. 28(3)(b))

El Encargado garantiza que las personas con acceso a los datos personales se han comprometido a respetar la confidencialidad.

5. Seguridad (art. 28(3)(c) en relación con el art. 32)

5.1 El Encargado adopta medidas técnicas y organizativas apropiadas; las medidas vigentes constan en el Anexo 3.

5.2 Las medidas se evalúan periódicamente (véase la auditoría RGPD semestral) y pueden modificarse, siempre que no se reduzca el nivel de protección.

6. Subencargados (art. 28(3)(d) en relación con el (2))

6.1 El Responsable presta su autorización general para recurrir a los subencargados que figuran en el Anexo 2.

6.2 El Encargado impone a cada subencargado, mediante contrato, las mismas obligaciones de protección de datos que las previstas en este Contrato.

6.3 Ante una modificación prevista (subencargado nuevo o sustituto), el Encargado informará al Responsable con al menos 30 días de antelación, para que este pueda oponerse. En caso de oposición fundada, las partes buscarán una solución razonable; de no lograrse, el Responsable podrá rescindir el servicio en cuestión.

6.4 El Encargado sigue siendo plenamente responsable frente al Responsable de la actuación de sus subencargados.

7. Transferencias internacionales (Capítulo V)

7.1 Los datos esenciales se almacenan y tratan dentro del EEE (base de datos, archivos, correo electrónico, telefonía/grabaciones, IA — véase el Anexo 2).

7.2 Para los subencargados con una matriz estadounidense (Cloudflare, Twilio, Mailgun/Sinch, y los servicios Mapbox y Pusher, que se darán de baja antes de finales de octubre de 2026), en la medida en que pueda producirse un acceso incidental desde un tercer país, resultan de aplicación el EU-US Data Privacy Framework y/o las cláusulas contractuales tipo (SCC). Una copia de las garantías está disponible previa solicitud.

8. Asistencia al Responsable

8.1 Derechos de los interesados (art. 28(3)(e)): el Encargado asiste al Responsable, mediante medidas apropiadas, en relación con las solicitudes de los interesados (acceso, rectificación, supresión, limitación, portabilidad, oposición). Las solicitudes que se reciban directamente en el Encargado se trasladan al Responsable.

8.2 Seguridad, violaciones de datos y EIPD (art. 28(3)(f) en relación con los arts. 32-36): el Encargado presta asistencia en materia de seguridad, notificación de violaciones de datos y evaluaciones de impacto relativas a la protección de datos.

8.3 Notificación de violaciones de datos: el Encargado notifica una violación de seguridad de los datos sin dilación indebida y, a más tardar, en un plazo de 72 horas tras tener conocimiento de ella, con la información indicada en el art. 33(3) en la medida en que esté disponible.

9. Devolución y supresión (art. 28(3)(g))

9.1 Tras la finalización, el Encargado suprime o devuelve, a elección del Responsable, todos los datos personales.

9.2 El Responsable puede exportar sus datos durante 30 días tras la finalización. Transcurrido ese plazo, el Encargado suprime los datos personales en un plazo de 30 días, salvo las copias de seguridad que se borran en un ciclo rotativo de 90 días y los datos que deban conservarse por imperativo legal.

10. Auditorías (art. 28(3)(h))

10.1 El Encargado pone a disposición, previa solicitud, la información necesaria para demostrar el cumplimiento, incluidos los resultados de la auditoría RGPD interna semestral y, en su caso, las certificaciones.

10.2 El Responsable puede encargar una auditoría como máximo una vez al año (y tras una violación de datos), con un preaviso razonable, en horario laboral y sin perturbar de forma desproporcionada la actividad empresarial.

11. Responsabilidad y duración

11.1 La responsabilidad sigue lo establecido en el contrato principal, con observancia del art. 82 RGPD (derecho imperativo).

11.2 Este Contrato rige mientras el Encargado trate datos personales por cuenta del Responsable.

11.3 Este Contrato rige en su versión vigente en cada momento, que constituye la base de los acuerdos entre las partes. Codificamos puede modificar su contenido, siempre que no disminuya el nivel de protección de los interesados y con observancia del mecanismo de modificación de subencargados (§6.3). La versión vigente es la aplicable.

12. Legislación aplicable

Legislación española; juzgados y tribunales competentes de Alicante, sin perjuicio de las normas imperativas de competencia.

Firma

Así se acuerda. El Responsable del tratamiento acepta este Contrato mediante su firma a continuación, o bien mediante la aceptación del contrato principal en el momento del registro.

Responsable del tratamiento — el Cliente

Razón social

CIF / IVA

Representado por

Cargo

Lugar / fecha

Firma

Encargado del tratamiento

Razón socialCodificamos S.L.

CIFB02641900

Representado por

Cargo

Lugar / fecha

Firma

Anexo 1 — Detalles del tratamiento


Objeto	Prestación del Tesoro CRM al Responsable
Duración	Vigencia del contrato principal + el plazo de conservación del art. 9
Naturaleza	Recogida, registro, organización, almacenamiento, consulta, uso, comunicación (dentro del Servicio), supresión
Finalidad	Gestión de relaciones/leads/operaciones, casación de inmuebles, comunicación (correo electrónico/teléfono/WhatsApp), portal del cliente

Categorías de interesados: clientes finales del agente (compradores, vendedores, propietarios, leads, usuarios del portal); relaciones comerciales/personas de contacto.

Categorías de datos personales:

Identidad y contacto: nombre, correo electrónico, teléfono, número de WhatsApp, dirección, idioma
Ubicación: geolocalización de un contacto (si se cumplimenta)
Perfil/preferencias: perfil de búsqueda, presupuesto, historial de operaciones, inmuebles favoritos
Financieros: comisión, valor de la operación, importes de las ofertas, condiciones de crédito (relaciones)
Contenido de las comunicaciones: correos electrónicos (+ adjuntos), mensajes de WhatsApp (+ multimedia), grabaciones de llamadas (audio), notas, observaciones
Cuenta del portal: credenciales de acceso (con hash), último inicio de sesión
Texto libre: descripciones/notas (pueden contener ocasionalmente datos de categorías especiales — véase la política)

Categorías especiales (art. 9): no se recogen de forma estructural. Se solicita al Responsable que no introduzca datos del art. 9 en los campos de texto libre, salvo que disponga de una base jurídica válida para ello.

Anexo 2 — Subencargados (a fecha de 2026-06-30)

MongoDB Atlasbase de datos principal

UEMadrid · dentro del EEE

Cloudflare R2almacenamiento de archivos y documentos, grabaciones de llamadas

UEDPF

Cloudflarealojamiento, CDN de imágenes, traducción por IA de textos inmobiliarios

UEDPF

Mailgun (Sinch)correo electrónico transaccional

UEdentro del EEE

Twiliotelefonía + grabaciones de llamadas

UEIrlanda (IE1) · SCC+DPF

WAHA (self-hosted)canal de WhatsApp

UEHetzner · Meta como carrier

Hetzner Onlinealojamiento en la UE de componentes self-hosted

UEFalkenstein (DE)

GlitchTipmonitorización de errores

UEHetzner Falkenstein

OpenStreetMap / Nominatimgeocodificación de direcciones

UEdentro del EEE

Mapboxgeocodificación de direcciones (transición a OpenStreetMap)

EE. UU. · DPFbaja · oct 2026

Pusherpush en tiempo real (mensajes + ID)

UE / EE. UU.baja · oct 2026

Las integraciones de correo vinculadas por el cliente (Gmail/Outlook/Zoho/IMAP) no son subencargados de Tesoro: el Responsable vincula su propia cuenta y es él mismo responsable de ello.

Anexo 3 — Medidas técnicas y organizativas (art. 32)

Residencia de los datos: datos esenciales dentro del EEE (véase el Anexo 2).
Cifrado: TLS para el transporte; cifrado en reposo en MongoDB Atlas y Cloudflare R2.
Gestión de accesos: acceso basado en roles (admin/employee), separación multi-tenant por company.
Autenticación: contraseñas con hash mediante bcrypt; sesiones JWT.
Webhooks: firmados con HMAC-SHA256.
Registro/monitorización: registros técnicos con plazo de conservación limitado; auditoría RGPD interna semestral.