RRexervas

Contrato de encargo del tratamiento (DPA)

Versión 1.0-borrador · 2026-05-27

Borrador pendiente de revisión legal. Este documento recoge las cláusulas del art. 28 RGPD como base de la relación responsable–encargado, pero debe revisarse con asesoría legal antes de considerarse vinculante en producción.

1. Partes y objeto

Este contrato regula el tratamiento de datos personales que Fraxuo Dev SL («el Encargado», a través de la plataforma Rexervas) realiza por cuenta del negocio cliente («el Responsable») al usar el servicio para gestionar citas y reservas. Se entiende aceptado por el Responsable al contratar o utilizar Rexervas.

2. Naturaleza, finalidad y duración

  • Naturaleza y finalidad: alojamiento y tratamiento de los datos necesarios para gestionar reservas, clientes, profesionales, agenda, recordatorios y cobros del Responsable.
  • Duración: mientras esté vigente la relación contractual; al término, se aplica la cláusula 7.

3. Datos y categorías de interesados

  • Categorías de datos: identificación y contacto (nombre, email, teléfono), datos de la reserva, notas y, según la vertical, datos de salud (fisioterapia, clínica, veterinaria) tratados como categoría especial con garantías reforzadas.
  • Interesados: clientes finales del Responsable, sus profesionales y personal.

4. Obligaciones del Encargado (art. 28.3 RGPD)

  • Tratar los datos únicamente siguiendo instrucciones documentadas del Responsable.
  • Garantizar la confidencialidad de quienes tratan los datos.
  • Aplicar las medidas de seguridad del art. 32 (cláusula 6).
  • No recurrir a otro subencargado sin autorización; los actuales figuran en /legal/subencargados (autorización general con derecho de oposición).
  • Asistir al Responsable en la respuesta a los derechos de los interesados, en la notificación de brechas, en las evaluaciones de impacto y consultas previas.
  • Poner a disposición la información necesaria para demostrar el cumplimiento y permitir auditorías.

5. Subencargados y transferencias internacionales

Lista actualizada en /legal/subencargados. Cuando un subencargado trate datos fuera del EEE, se garantiza un nivel adecuado mediante Cláusulas Contractuales Tipo (SCC) u otra garantía del art. 46 RGPD.

6. Medidas de seguridad (art. 32)

  • Cifrado en tránsito (TLS) y en reposo.
  • Aislamiento multi-tenant a nivel de base de datos (Row Level Security forzada).
  • Control de acceso por roles y registro de operaciones críticas (audit log).
  • Copias de seguridad y recuperación ante incidentes.

7. Devolución o supresión al finalizar

A la terminación, y a elección del Responsable, el Encargado devolverá o suprimirá los datos personales y las copias existentes, salvo obligación legal de conservación.

8. Brechas de seguridad

El Encargado notificará al Responsable sin dilación indebida tras tener conocimiento de una violación de la seguridad de los datos, con la información necesaria para cumplir sus obligaciones de notificación.

Contacto del delegado/responsable de privacidad: privacidad@rexervas.com.