Plattform im Aufbau: Registrierung funktioniert, Tarif-Abschluss & einige Funktionen sind noch nicht aktiv. — Fragen? info@ppwr-qrcode.de

PPWR QR-Code
← Página de inicio

RGPD art. 28

Contrato de encargo del tratamiento

Texto modelo conforme al art. 28 del RGPD. Imprimible / descargable en formato PDF. Adaptable individualmente en caso necesario — antes de su firma, le recomendamos que lo someta a una revisión jurídica.

Solicitar PDF listo para firmar

Contrato de encargo del tratamiento conforme al art. 28 del RGPD

entre

…………………………………………………………………
(Nombre, dirección del cliente)
Responsable del tratamiento

y

Erik Eggerth
Schluttenbacher Digitalagentur
Lange Str. 22
76275 Ettlingen OT Schluttenbach
Deutschland
info@ppwr-qrcode.de
USt-IdNr.: DE308523905
Encargado del tratamiento

§ 1 Objeto y duración

(1) El objeto del contrato es el tratamiento de datos personales por parte del encargado del tratamiento en el marco de la plataforma PPWR-QR-Code (<a href="https://ppwr-qrcode.de">ppwr-qrcode.de</a>) para el cumplimiento de la conformidad con la PPWR del responsable del tratamiento.

(2) La duración del contrato corresponde a la duración del contrato principal (suscripción de tarifa). Al finalizar el contrato principal, el presente DPA también finaliza automáticamente.

§ 2 Naturaleza y finalidad del tratamiento de datos

(1) En particular, se tratan las siguientes categorías de datos:

  • Datos maestros del cliente (empresa, dirección, NIF-IVA)
  • Datos de la cuenta (correo electrónico, hash de la contraseña, configuración de 2FA)
  • Datos de contenido de los QR-Codes (información del producto, datos del embalaje)
  • Estadísticas de escaneo de forma seudonimizada (hash de IP, categoría de dispositivo, país)
  • Metadatos de pago (ID de cliente de Stripe, estado de la suscripción)

(2) Finalidad: puesta a disposición de la plataforma PPWR-QR-Code, documentación de conformidad, facturación, soporte, estadísticas.

§ 3 Personas afectadas

  • Empleados y empleadas del cliente con acceso a la plataforma
  • Clientes finales que escanean un QR-Code (únicamente datos de escaneo seudónimos)
  • Recomendantes / recomendados en el programa de afiliados (si está activado)

§ 4 Obligaciones del encargado del tratamiento

El encargado del tratamiento garantiza, en particular:

  1. Tratamiento exclusivamente conforme a las instrucciones documentadas del responsable del tratamiento — ubicación de los servidores en la UE (Fráncfort del Meno, Vercel + región UE de Supabase).
  2. Compromiso de confidencialidad de las personas encargadas del tratamiento (art. 28, apdo. 3, letra b).
  3. Medidas técnicas y organizativas conforme al art. 32 del RGPD (véase el anexo 1).
  4. Notificación inmediata de las violaciones de la seguridad de los datos personales (art. 33 del RGPD) en un plazo de 24 horas desde su conocimiento.
  5. Asistencia en las solicitudes de los interesados (art. 15 a 22 del RGPD) así como en las evaluaciones de impacto relativas a la protección de datos (art. 35 del RGPD).
  6. Una vez finalizado el contrato: devolución o supresión de todos los datos personales a elección del responsable del tratamiento (art. 28, apdo. 3, letra g) — excepción: obligaciones de conservación por motivos de conformidad conforme al § 257 del HGB / § 147 de la AO.

§ 5 Subencargados del tratamiento

El responsable del tratamiento autoriza a los siguientes subencargados del tratamiento:

ProveedorServicioSede
Supabase Inc.Base de datos, autenticación, almacenamientoUE (Fráncfort)
Vercel Inc.Alojamiento, edge functionsUE (Fráncfort fra1) + DE
1&1 IONOS SEEnvío de correos electrónicos (SMTP)DE (Karlsruhe)
Stripe Payments Europe Ltd.Procesamiento de pagosIE (Dublín)
fal.ai Inc.Generación de imágenes mediante IA (únicamente material de marketing, ningún dato de clientes)US, DPA en vigor

Las modificaciones se anuncian con 30 días de antelación. Si el responsable del tratamiento se opone, puede rescindir el contrato principal sin preaviso.

§ 6 Derechos del responsable del tratamiento

El responsable del tratamiento tiene derecho a realizar auditorías — bien mediante informes de auditoría (ISO 27001, SOC2 de los subcontratistas), bien mediante un control in situ con 14 días de preaviso.

§ 7 Responsabilidad

Se aplican las disposiciones del art. 82 del RGPD. Una limitación de responsabilidad en el contrato principal permanece inalterada para el tratamiento de datos.

Anexo 1: Medidas técnicas y organizativas (TOM)

  • <strong>Control de acceso físico:</strong> centros de datos en la nube (Supabase, Vercel) con certificación ISO 27001, acceso biométrico.
  • <strong>Control de acceso a los sistemas:</strong> 2FA obligatoria para todas las cuentas de administrador, contraseñas con hash BCrypt (factor de coste ≥ 12), claves de API con hash.
  • <strong>Control de acceso a los datos:</strong> Row-Level-Security (RLS) en todas las tablas de la base de datos, autenticación de la API basada en roles.
  • <strong>Control de transmisión:</strong> TLS 1.3 para todos los flujos de datos, HSTS preload, sandbox de PDF en un subdominio aislado.
  • <strong>Control de entrada:</strong> registro de auditoría de todas las modificaciones del contenido de los QR-Codes mediante control de versiones (qr_content_versions).
  • <strong>Control del encargo:</strong> instrucciones por escrito exclusivamente por parte del responsable del tratamiento, documentadas en la cuenta.
  • <strong>Control de disponibilidad:</strong> copias de seguridad diarias, recuperación a un punto en el tiempo (point-in-time recovery), supervisión del estado mediante alertas de Telegram.
  • <strong>Control de separación:</strong> separación de clientes mediante RLS por user_id, buckets de almacenamiento separados.

Lugar, fecha: ……………………………………

Responsable del tratamiento: ……………………………………

Encargado del tratamiento: Erik Eggerth / Schluttenbacher Digitalagentur, 2026