Acuerdo de Tratamiento de Datos (DPA)
Versión 2.0 — 12 de junio de 2026. Aplicable a todos los planes de Fiscamazon. Disponible como documento firmable bajo petición a legal@fiscamazon.com.
1. Partes
Este acuerdo se celebra entre el Responsable del Tratamiento (el Cliente que contrata Fiscamazon) y el Encargado del Tratamiento(Fiscamazon). El acto de aceptar los Términos y Condiciones implica la aceptación de este DPA.
Para comunicaciones relativas a protección de datos y a este acuerdo puedes usar privacy@fiscamazon.com y legal@fiscamazon.com.
2. Objeto, naturaleza y finalidad
Tratamiento de datos incluidos en los informes fiscales cargados por el Cliente con la finalidad exclusiva de generar modelos tributarios (303, 349, 369 y los regímenes que correspondan) y registros contables asociados.
3. Tipo de datos y categorías de interesados
- Datos de transacciones: identificador de pedido, importes, marketplace, país de consumo, tipo impositivo, y nombre/NIF del comprador cuando el marketplace los facilita (enmascarables mediante el Modo privacidad, ver Anexo I).
- Datos del Cliente y sus miembros: nombre, email, rol.
- No se tratan categorías especiales de datos (Art. 9 RGPD).
4. Obligaciones del Encargado
- Tratar los datos únicamente conforme a instrucciones documentadas del Responsable.
- Garantizar el deber de confidencialidad de las personas autorizadas.
- Aplicar las medidas técnicas y organizativas del Anexo I (Art. 32 RGPD).
- Asistir al Responsable en el ejercicio de derechos de los interesados en un plazo máximo de 10 días laborables desde la solicitud.
- Notificar al Responsable toda violación de seguridad de los datos sin dilación indebida y, a más tardar, en 48 horas desde que tenga constancia, con la información del Art. 33.3 RGPD.
- Suprimir los datos en un plazo máximo de 30 días tras la finalización de la prestación (o devolverlos previamente si el Responsable lo solicita), salvo obligación legal de conservación. El Responsable puede ejercer la exportación total de sus datos en cualquier momento desde la propia aplicación.
5. Subencargados autorizados
El Responsable autoriza el recurso a los subencargados del Anexo II, que el Encargado mantiene actualizado. El Encargado notificará por email cualquier adición o sustitución con 30 días de antelación, durante los cuales el Responsable podrá oponerse por motivos justificados; la oposición sin alternativa viable dará derecho a resolver el contrato con devolución prorrateada. Todo subencargado queda sujeto por contrato a obligaciones equivalentes a las de este acuerdo.
Cadena de encargo (despachos): si el Cliente actúa a su vez como encargado del tratamiento de sus propios clientes (p. ej. una gestoría respecto de los vendedores cuyos informes carga), las partes acuerdan que Fiscamazon actúa como subencargado en los términos de este acuerdo, y el Cliente declara contar con la autorización de su responsable conforme al Art. 28.2 RGPD.
6. Transferencias internacionales
Los datos de los informes se alojan y procesan en infraestructura ubicada en la UE. Cualquier transferencia internacional (p. ej. servicios auxiliares de email) se realizará bajo Cláusulas Contractuales Tipo (CCT) u otro mecanismo válido del Capítulo V del RGPD, identificado en el Anexo II.
7. Auditoría
El Encargado pondrá a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones del Art. 28 RGPD y permitirá y contribuirá a las auditorías e inspecciones realizadas por el Responsable o un auditor mandatado por él, con preaviso razonable (15 días), durante horario laboral y bajo confidencialidad, máximo una vez al año salvo incidente de seguridad o requerimiento de autoridad.
8. Duración
Este DPA estará vigente mientras dure la relación contractual y durante los plazos legalmente obligatorios de conservación posterior.
Anexo I — Medidas técnicas y organizativas (Art. 32)
- Cifrado de los informes en reposo (AES-256-GCM) y en tránsito (TLS 1.2+).
- Control de acceso por roles (propietario, administrador, miembro, lector) con sesiones firmadas y autenticación reforzada para administración.
- Registro de auditoría de acciones sensibles (cargas, borrados, exportaciones, accesos administrativos).
- Expediente probatorio por informe con suma de verificación SHA-256 del fichero original (cadena de custodia).
- Modo privacidad por espacio de trabajo: enmascaramiento de nombres y NIF de compradores en las vistas de consulta.
- Copias de seguridad cifradas y procedimiento documentado de respuesta a incidentes.
Anexo II — Lista de subencargados
- Alojamiento y procesamiento de informes: proveedor de infraestructura cloud con región UE (datos fiscales: solo UE).
- Pasarela de pago: Stripe Payments Europe, Ltd. (Irlanda) — datos de facturación, nunca datos de los informes.
- Email transaccional: proveedor SMTP con CCT — dirección y nombre del usuario, nunca datos de los informes.
La lista nominal vigente, con entidad jurídica y ubicación exacta de cada subencargado, se entrega junto con el DPA firmable y ante cualquier solicitud a legal@fiscamazon.com.