Versión 1 · a fecha de 14 de julio de 2026
Contrato de Tratamiento de Datos (DPA)
Contrato conforme al art. 28 del RGPD · Versión del DPA: Versión 1
Entre [Responsable del tratamiento]
— en adelante, el «Responsable del tratamiento» —
y Trust Center
— en adelante, el «Encargado del tratamiento» —
Traducción automática – sin valor legal. Prevalecen las versiones EN/FR. En preparación, pendiente de revisión legal.
Contrato de Tratamiento de Datos
Este Contrato de Tratamiento de Datos («DPA») forma parte del acuerdo entre el Cliente («Responsable del tratamiento») y Fotosoft SA, una sociedad constituida en Bélgica (n.º de empresa BE 0721.709.989), que opera la plataforma fotostudio.io («Encargado del tratamiento»), y regula el tratamiento de datos personales conforme al artículo 28 del RGPD.
1. Funciones y objeto
El Cliente (un fotógrafo o estudio profesional) es el Responsable del tratamiento de los datos personales que carga o genera en la plataforma. Fotosoft actúa únicamente como Encargado del tratamiento, tratando dichos datos siguiendo las instrucciones documentadas del Responsable para prestar el servicio (CRM, reservas, galerías, contratos, facturación, correo electrónico).
2. Naturaleza, finalidad y duración
Fotosoft se compromete a tratar los datos únicamente dentro del alcance de estas finalidades («Fotosoft trata los datos únicamente para operar el servicio»). El tratamiento se prolonga durante la vigencia de la suscripción del Responsable.
3. Categorías de datos e interesados
- Interesados: los clientes y contactos del Responsable, y el personal del Responsable.
- Categorías: datos de identificación y contacto, datos de reservas y contratos, datos de facturación y material de imagen cargado.
4. Obligaciones del Encargado del tratamiento
Fotosoft deberá: tratar los datos únicamente siguiendo instrucciones documentadas; garantizar que las personas autorizadas a tratar los datos estén sujetas a un deber de confidencialidad; implementar las medidas del Anexo 1 (TOMs); asistir al Responsable con las solicitudes de los interesados y con sus obligaciones conforme a los artículos 32 a 36 del RGPD; y suprimir o devolver los datos al finalizar el encargo (véase el §8).
5. Subencargados del tratamiento
5.1 Autorización general. El Responsable concede a Fotosoft una autorización general por escrito en el sentido del art. 28.2, segunda frase, del RGPD para recurrir a otros encargados («subencargados del tratamiento»). Los subencargados autorizados en la fecha de celebración figuran en el Anexo 2.
5.2 Lista dinámica. La lista actualizada de todos los subencargados del tratamiento —incluidos nombre, finalidad, ubicación y categorías de datos— es mantenida y versionada por Fotosoft de forma continua en el Trust Center, en la sección «Subencargados del tratamiento». Esta lista dinámica es la que prevalece y forma parte del presente AVV; el Anexo 2 refleja su estado en la fecha de celebración.
5.3 Información previa. Cuando Fotosoft tenga la intención de añadir o sustituir un subencargado del tratamiento, informará al Responsable con una antelación razonable antes de la fecha de efecto prevista. La información se facilita de forma activa por correo electrónico a la dirección del Responsable registrada para el AVV celebrado; además, el Responsable puede suscribirse a las notificaciones de cambios en el Trust Center. Corresponde al Responsable mantener una dirección de correo electrónico de contacto válida y actualizada.
5.4 Derecho de oposición. El Responsable puede oponerse a un cambio previsto por un motivo legítimo relacionado con la protección de datos hasta la fecha de efecto anunciada. Si no se formula oposición hasta entonces, el cambio se considerará aprobado y surtirá efecto en la fecha anunciada.
5.5 Consecuencias de la oposición. En caso de oposición, las partes buscarán de buena fe una solución amistosa. Si no puede alcanzarse en un plazo razonable, el Responsable podrá resolver, respecto de la parte del Servicio que requiera el subencargado, de forma extraordinaria. La retirada de un subencargado del tratamiento sin sustitución no constituye un cambio sujeto a aprobación y no requiere autorización previa.
5.6 Traslado de las obligaciones. Fotosoft impone a cada subencargado del tratamiento, por contrato, obligaciones de protección de datos sustancialmente idénticas a las previstas en el presente AVV, y sigue siendo responsable ante el Responsable del cumplimiento por parte del subencargado.
6. Medidas técnicas y organizativas (TOMs)
6.1 Medidas. Fotosoft implementa y mantiene las medidas técnicas y organizativas conforme al artículo 32 del RGPD que garantizan un nivel de seguridad adecuado al riesgo. Las medidas vigentes en la fecha de celebración figuran en el Anexo 1.
6.2 Documento dinámico. La versión actual de las TOMs —incluidos su alcance y contenido— es mantenida y versionada por Fotosoft de forma continua en el Trust Center. Esta versión es la que prevalece y forma parte del presente AVV; el Anexo 1 refleja su estado en la fecha de celebración.
6.3 Actualizaciones. Fotosoft puede adaptar las TOMs en consonancia con la evolución técnica y organizativa, siempre que el nivel de protección acordado no se reduzca de forma sustancial. A diferencia de lo previsto para los subencargados del tratamiento (§5), no se aplica al respecto ningún derecho de consentimiento u oposición.
6.4 Información. Los cambios en las TOMs se hacen trazables mediante el versionado en el Trust Center, donde el Responsable puede suscribirse a las notificaciones de cambios. A tal efecto no se requiere una notificación individual activa por correo electrónico.
7. Transferencias internacionales
Fotosoft no transfiere datos personales fuera del Espacio Económico Europeo, salvo cuando esté cubierto por una decisión de adecuación o por garantías adecuadas como las Cláusulas Contractuales Tipo de la UE. Todos los datos se alojan exclusivamente en Europa.
Review note (EN): some sub-processors (Heroku/Salesforce, AWS, Stripe, PayPal, SMTP2GO) have US parent companies. Confirm transfer mechanisms with counsel even though storage is in the EU.
8. Supresión
A la finalización, todos los datos personales se suprimen de forma permanente de los servidores en un plazo de 30 días; las copias de seguridad se eliminan una vez expirado su periodo de conservación.
9. Incidentes de seguridad
Fotosoft notifica al Responsable sin dilación indebida y en un plazo de 72 horas cuando la violación afecte a datos personales.
10. Auditorías
Fotosoft pone a disposición la información necesaria para demostrar el cumplimiento del artículo 28 del RGPD.
11. Legislación aplicable
Este DPA se rige por el Derecho belga; los tribunales competentes son los de Lieja.
Anexo 1 — Medidas técnicas y organizativas
Refleja el estado del documento TOMs en la fecha de celebración. La versión actual se mantiene y versiona en el Trust Center (§6.2).
Anexo 2 — Subencargados del tratamiento autorizados
Véase la lista independiente de Subencargados del tratamiento, que es la que prevalece y refleja el estado actual (§5.2). El Anexo 2 refleja su estado en la fecha de celebración.