Acuerdo Marco de Tratamiento de Datos

Última actualización: 17 de abril de 2026

(de conformidad con el artículo 28 del RGPD)

Constituyen el objeto del presente acuerdo los derechos y obligaciones de las Partes en el ámbito de la prestación de servicios, de conformidad con la Descripción del Servicio y con las Condiciones Generales y Condiciones Particulares que resulten de aplicación, en la medida en que se lleve a cabo un tratamiento de datos personales por parte de NEDAXE SOLUTIONS, S.L, como encargado del tratamiento, actuando el CLIENTE como Responsable del tratamiento de los datos personales, de conformidad con el artículo 28 del RGPD y el artículo 33 de la LOPDGDD. Incluyendo esto todas las actividades que NEDAXE SOLUTIONS, S.L como proveedor lleva a cabo para cumplir con la prestación de sus servicios y que constituyen un tratamiento de datos personales.

Identificación del Encargado del Tratamiento

• Razón social: NEDAXE SOLUTIONS, S.L
• CIF: B26876128
• Correo electrónico: nedaxe.info@gmail.com

Mediante la aceptación del presente acuerdo marco de tratamiento de datos, el Responsable del tratamiento confía al Encargado el tratamiento de los datos personales correspondientes.

Primera. — Definiciones

Todos los términos detallados en el presente contrato tendrán el mismo significado que el definido en el artículo 4 del RGPD. En consecuencia, se entenderá por responsable y Encargado lo siguiente:

• Responsable del tratamiento, significa que es titular de los datos, es quien determina tanto los fines como los medios del tratamiento (denominada el «responsable»), en adelante el CLIENTE.
• Encargado del tratamiento, significa aquella persona física o jurídica, autoridad, servicio u otro organismo que presta un servicio al responsable del fichero que conlleva el tratamiento de datos personales por cuenta de éste (denominada el «Proveedor» o el «Encargado»), en adelante NEDAXE SOLUTIONS, S.L.
• Tratamiento, cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.

Segunda. — Naturaleza y finalidad del tratamiento

La naturaleza del tratamiento incluye todos los tipos de tratamiento, en el sentido del RGPD y de la LOPDGDD necesarios para la ejecución del contrato.

Las finalidades del tratamiento las constituyen aquellos fines necesarios para la prestación del servicio contratado, concretamente el uso del software Nedaxe como servicio (SaaS).

El encargado del tratamiento se obliga a tratar los datos ajustándose únicamente a las instrucciones remitidas por el Responsable, en este caso la prestación del servicio del software Nedaxe.

Tercera. — Duración del contrato

La duración del tratamiento dependerá de la duración de la suscripción del servicio SaaS del software Nedaxe elegida por el Cliente.

Cuarta. — Tipos de datos personales, categoría de los interesados y tratamientos

En el marco de la prestación del servicio de Nedaxe, el Encargado podrá tratar la información que se detalla a continuación:

• Tipos de datos personales: Datos identificativos (nombre, DNI), datos de contacto (teléfono, email y dirección), datos económicos, financieros (datos de facturación y contabilidad para contrataciones de software de gestión y/o contabilidad).
• Categorías de interesados: empleados, clientes, usuarios y proveedores del cliente.
• Tratamientos: la prestación de los Servicios contratados implica la realización por el Encargado del Tratamiento de los siguientes tratamientos: Recogida, registro, estructuración, modificación, conservación, almacenamiento, extracción, consulta, comunicación, supresión, limitación, destrucción, comunicación, anonimización, así como cualesquiera otros derivados de la prestación de los Servicios contratados.

Quinta. — Cesión de datos personales

No se cederán a terceros datos personales salvo en los casos en los que la ley así lo establezca, aunque podrán ser accesibles por proveedores que presten servicios a el Encargado para la correcta ejecución del servicio.

No se considera cesión por parte del Encargado, cuando dicho acceso sea necesario para la correcta prestación de los Servicios objeto del presente Contrato.

Sexta. — Obligaciones del Encargado del Tratamiento

El Encargado del tratamiento y todo su personal se obliga a:

1. Cumplir con las normas en materia de protección de datos de carácter personal que resulten de aplicación.
2. Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este encargo.
3. Tratar los datos de acuerdo con las instrucciones del Responsable del tratamiento.
4. Registrar, por escrito, todas las categorías de actividades de tratamiento efectuadas por cuenta del Responsable. Dicho registro debe contener:
   1. El nombre y los datos de contacto del Encargado o Encargados y de cada Responsable por cuenta del cual actúe el Encargado y, en su caso, del representante del Responsable o del Encargado y del delegado de protección de datos.
   2. Las categorías de tratamientos efectuados por cuenta de cada Responsable.
   3. En su caso, las transferencias de datos personales a un tercer país u organización internacional.
   4. Una descripción general de las medidas técnicas y organizativas de seguridad.
5. No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del Responsable del tratamiento, en los supuestos legalmente admisibles. El Encargado puede comunicar los datos a otros Encargados del tratamiento del mismo Responsable, de acuerdo con las instrucciones del Responsable. Si el Encargado debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sea aplicable, informará al Responsable de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público.
6. El Encargado podrá subcontratar aquellos servicios que sean necesarios para la adecuada consecución o prestación de los servicios contratados por el Responsable. El Encargado informará al Responsable de aquellos subencargados que se encarguen de la prestación de servicios críticos para la continuidad de negocio del Responsable, como por ejemplo el hosting o servicios de almacenamiento en la nube.
7. Mantener el deber de secreto respecto a los datos de carácter personal a los que haya tenido acceso en virtud del presente encargo, incluso después de que finalice su objeto.
8. Garantizar que las personas autorizadas para tratar datos personales se comprometen, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente.
9. Mantener a disposición del Responsable la documentación acreditativa del cumplimiento de la obligación establecida en el apartado anterior.
10. Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales.
11. Asistir, en la medida en que sea posible, al Responsable del tratamiento en la respuesta al ejercicio de los derechos de:
    1. Acceso, rectificación, supresión y oposición
    2. Limitación del tratamiento
    3. Portabilidad de datos
    4. A no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles).

    Cuando las personas afectadas ejerzan los derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de datos y a no ser objeto de decisiones individualizadas automatizadas, respecto a los datos objeto de este encargo y ante el Encargado del tratamiento, éste debe comunicarlo por correo electrónico a la dirección indicada por el cliente. La comunicación debe hacerse de forma inmediata y en ningún caso más allá de los tres días laborables siguientes al de la recepción de la solicitud, juntamente, en su caso, con otras informaciones que puedan ser relevantes para resolver la solicitud.

12. Corresponde al Responsable facilitar el derecho de información en el momento de la recogida de los datos.
13. Cuando se produzcan errores, irregularidades o presuntas infracciones de las disposiciones relacionadas con la protección de los Datos Personales el Encargado del tratamiento notificará al Responsable del tratamiento, sin dilación indebida, y en cualquier caso antes del plazo máximo de 72 horas, y a través correo electrónico del cliente, las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la violación de seguridad. No será necesaria la notificación cuando sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.
14. Dar apoyo al Responsable de tratamiento en la realización de las evaluaciones de impacto relativas a la protección de datos, cuando proceda.
15. Poner disposición del Responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones.
16. Implantar las medidas de seguridad derivadas de la evaluación de riesgos realizada por el Encargado. En todo caso, deberá implantar mecanismos para:
    1. Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
    2. Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.
    3. Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento.
    4. Seudonimizar y cifrar los datos personales, en su caso.
17. Si el Encargado está obligado a ello, según el RGPD, debe designar un delegado de protección de datos y comunicar su identidad y datos de contacto al Responsable.
18. A la finalización del contrato de prestación de servicios el Encargado tendrá que destruir los datos de forma irrecuperable.

Séptima. — Obligaciones del Responsable del Tratamiento

1. El Responsable garantiza que los datos facilitados al Encargado se han obtenido lícitamente y que son adecuados, pertinentes y limitados a los fines del tratamiento.
2. El Responsable pondrá a disposición del encargado cuanta información sea necesaria para ejecutar las prestaciones objeto de encargo.
3. El Responsable advierte al Encargado de que, si determina por su cuenta los fines y los medios del tratamiento, se considerará Responsable del tratamiento y estará sujeto a cumplir las disposiciones de la normativa vigente aplicable como tal.
4. Velar, de forma previa y durante todo el tratamiento, por el cumplimiento del RGPD por parte del Encargado del Tratamiento.

Octava. — Transferencias internacionales

Los datos se tratarán y utilizarán exclusivamente en el territorio de un Estado miembro de la Unión Europea o dentro de un país miembro del Espacio Económico Europeo.

Novena. — Responsabilidad

El Responsable responderá de los daños y perjuicios causados en cualquier otra operación de tratamiento en que participe y no cumpla lo dispuesto en el RGPD, y el encargado del tratamiento únicamente responderá de los daños y perjuicios causados por el tratamiento cuando no haya cumplido con las obligaciones del RGPD dirigidas específicamente al encargado o haya actuado al margen o en contra de las instrucciones legales del responsable.

Del mismo modo, el Encargado estará exento de responsabilidad si demuestra que no es en modo alguno Responsable del hecho que haya causado los daños o perjuicios.

Décima. — Legislación y jurisdicción aplicable

El presente Acuerdo se regirá por el Reglamento (UE) 2016/679 (RGPD), la Ley Orgánica 3/2018 (LOPDGDD) y demás normativa española y europea aplicable en materia de protección de datos.

Si no se alcanzara una solución en dicho plazo, las partes se someten expresamente a los Juzgados y Tribunales de Madrid, con renuncia a cualquier otro fuero que pudiera corresponderles.