DPA — Acuerdo de Tratamiento de Datos

📄 Versión: 1.0 · 15 mayo 2026

Naturaleza del documento: versión estándar pública. Para clientes Enterprise ofrecemos una versión personalizada y firmable electrónicamente, adaptada a la operativa concreta del cliente. Solicita la versión personalizada en aplium@aplium.com.

🖨️ Imprimir / Guardar como PDF ✍️ Solicitar versión firmada

Contenido

Partes
Objeto, naturaleza, duración y finalidad
Tipo de datos e interesados
Obligaciones del Encargado
Subprocesadores
Medidas de seguridad (art. 32 RGPD)
Notificación de brechas
Asistencia con derechos de los interesados
Transferencias internacionales
Auditorías
Fin del tratamiento
Responsabilidad
Disposiciones generales

1. Partes

Encargado del Tratamiento ("APLIUM")

Razón social: APLIUM Aplicaciones Telemáticas, S.L.U.
NIF: B25820044
Domicilio: Av. Quatretonda, 30 — 25132 Benavent de Segrià, Lleida (España)
Inscripción: Registro Mercantil de Lleida, Tomo 1482, Folio 189, Hoja L-29904
Email de contacto privacidad: aplium@aplium.com

Responsable del Tratamiento ("Cliente")

La persona física o jurídica titular de la suscripción a APLIUM Label, identificada en el alta del servicio y en su perfil de empresa dentro de la plataforma. Los datos identificativos del Cliente forman parte del contrato de suscripción.

2. Objeto, naturaleza, duración y finalidad del tratamiento

Objeto El Encargado tratará datos personales por cuenta del Responsable única y exclusivamente para la prestación del servicio APLIUM Label (plataforma SaaS de etiquetado, trazabilidad alimentaria, compliance regulatorio EU e inteligencia artificial aplicada a producción alimentaria).

Naturaleza Tratamientos automatizados y manuales mediante la plataforma SaaS, incluyendo: almacenamiento, organización, conservación, consulta, modificación, extracción, comunicación interna, cotejo, supresión y destrucción de datos personales.

Finalidad Las finalidades concretas vienen determinadas por el uso que el Responsable haga del servicio: gestión de productos, lotes, trazabilidad, etiquetado, control de calidad, compliance, asistencia IA (watsonx), generación de informes, integración con sistemas del cliente (ERP, impresoras), entre otras funcionalidades del producto.

Duración Mientras esté vigente el contrato de suscripción entre las partes. Tras su finalización, se aplicará lo previsto en la cláusula 11 (Fin del tratamiento).

3. Tipo de datos personales tratados y categorías de interesados

Tipos de datos personales

Categoría	Ejemplos
Identificativos	Nombre y apellidos, email, teléfono, foto de perfil opcional, identificador interno.
Profesionales	Empresa, puesto, departamento, rol funcional.
Acceso y uso	Login, IP de acceso, dispositivo, navegador, logs de auditoría, preferencias.
Operativos	Datos introducidos por usuarios en el sistema (productos, lotes, etiquetas, recetas, etc.) que pueden contener nombres de proveedores, transportistas o empleados.
De facturación	Datos fiscales del cliente, NIF, dirección. No se almacena el PAN de la tarjeta de pago (gestionado por Redsys/Stripe).

No se tratan categorías especiales de datos personales del art. 9 RGPD (datos de salud, biométricos, ideología, religión, etc.) salvo que el Cliente decida introducirlos voluntariamente en campos libres, en cuyo caso el Cliente asume responsabilidad sobre la base jurídica de dicho tratamiento.

Categorías de interesados

Usuarios autorizados de la plataforma (empleados y colaboradores del Cliente).
Empleados del Cliente que sean mencionados en registros operativos.
Contactos del Cliente (proveedores, transportistas, clientes B2B) cuando el Cliente decida introducir esos datos.
Responsables legales del Cliente (administradores, representantes, firmantes).

4. Obligaciones del Encargado

Conforme al art. 28.3 RGPD, el Encargado se compromete a:

Tratar los datos personales únicamente siguiendo las instrucciones documentadas del Responsable, incluso en lo relativo a las transferencias de datos personales a un tercer país u organización internacional, salvo que el Encargado esté obligado a ello por el Derecho de la Unión o de un Estado miembro.
Garantizar que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación legal de confidencialidad.
Tomar todas las medidas necesarias de conformidad con el art. 32 RGPD (ver cláusula 6).
Respetar las condiciones para recurrir a subprocesadores (ver cláusula 5).
Asistir al Responsable, teniendo en cuenta la naturaleza del tratamiento, mediante medidas técnicas y organizativas apropiadas, a responder a las solicitudes de ejercicio de los derechos de los interesados.
Ayudar al Responsable a garantizar el cumplimiento de las obligaciones de los arts. 32 a 36 RGPD (seguridad, notificación de brechas, evaluación de impacto, consulta previa), teniendo en cuenta la naturaleza del tratamiento y la información a disposición del Encargado.
A elección del Responsable, suprimir o devolver todos los datos personales una vez finalizada la prestación de los servicios de tratamiento (ver cláusula 11).
Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones del art. 28 RGPD, así como permitir y contribuir a la realización de auditorías (ver cláusula 10).

5. Subprocesadores

El Cliente autoriza con carácter general al Encargado a recurrir a subprocesadores para la prestación del servicio. La lista pública y actualizada de subprocesadores está disponible en label.aplium.com/subprocesadores.html y forma parte integrante de este DPA por referencia.

El Encargado se compromete a:

Notificar al Cliente cualquier cambio previsto en la incorporación o sustitución de subprocesadores con al menos 30 días naturales de antelación.
Permitir al Cliente oponerse de forma razonada al cambio durante dicho plazo. Si la objeción es aceptada se buscará una alternativa; si no, el Cliente podrá resolver el contrato sin penalización.
Imponer a los subprocesadores, mediante contrato escrito, las mismas obligaciones de protección de datos asumidas en este DPA, en particular garantías suficientes en el cumplimiento del RGPD.
Responder ante el Cliente del cumplimiento por parte de los subprocesadores de sus obligaciones de protección de datos.

6. Medidas de seguridad (art. 32 RGPD)

El Encargado implementa medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, incluyendo, entre otras:

Medidas técnicas

Cifrado en tránsito (TLS 1.3, HSTS).
Cifrado en reposo (AES-256) de bases de datos, backups y archivos.
Almacenamiento de contraseñas con bcrypt (cost factor 12).
Cifrado adicional de credenciales sensibles del cliente (ERP, integraciones) con AES-256-GCM.
Doble factor de autenticación (2FA) disponible para todos los planes.
Aislamiento lógico multi-tenant por empresa_id a nivel de fila.
Backups diarios automatizados con retención 30 días.
Monitorización continua de la disponibilidad y logs de auditoría.

Medidas organizativas

Política de control de acceso por roles (least privilege).
Acuerdos de confidencialidad con todo el personal con acceso a datos.
Formación periódica en protección de datos y seguridad.
Procedimientos documentados de respuesta a incidentes.
Política de gestión de cambios y revisión de código para componentes sensibles.
Revisión periódica del registro de actividades de tratamiento.

Información ampliada en el Trust Center.

7. Notificación de brechas de seguridad

En caso de violación de la seguridad de los datos personales tratados por cuenta del Cliente, el Encargado lo notificará al Cliente sin dilación indebida y, en cualquier caso, en un plazo máximo de 72 horas desde que tenga constancia de ella, conforme al art. 33 RGPD.

La notificación incluirá, en la medida de lo posible:

Naturaleza de la brecha (qué ha ocurrido).
Categorías y número aproximado de interesados afectados.
Categorías y número aproximado de registros afectados.
Posibles consecuencias.
Medidas adoptadas o propuestas para mitigar el incidente y prevenir su repetición.
Datos de contacto del responsable interno del incidente.

El Encargado documentará todas las brechas en un registro interno y cooperará con el Cliente y con la autoridad de control (AEPD u otra competente) en lo que sea necesario.

8. Asistencia con derechos de los interesados (DSAR)

El Encargado asistirá al Cliente, mediante medidas técnicas y organizativas apropiadas, en el cumplimiento de su obligación de responder a las solicitudes de ejercicio de los derechos de los interesados (acceso, rectificación, supresión, limitación, oposición, portabilidad).

Si el Encargado recibe directamente una solicitud de un interesado, la trasladará al Cliente en un plazo máximo de 5 días hábiles sin responder al interesado, salvo que esté autorizado o legalmente obligado a hacerlo. El Cliente seguirá siendo el responsable último de la respuesta dentro del plazo legal de 30 días naturales (art. 12.3 RGPD).

Funcionalidades de la plataforma que facilitan al Cliente la gestión de DSAR:

Exportación de datos de un usuario en formato estructurado.
Eliminación lógica y física de usuarios y sus datos personales asociados (sujeta a obligaciones legales de conservación como la fiscal).
Registro de auditoría de accesos y modificaciones.

9. Transferencias internacionales de datos

El tratamiento principal se realiza íntegramente en territorio español (IBM Cloud CPD Madrid), incluyendo el envío de correo transaccional desde nuestro propio servidor Exim4 local (sin proveedores externos tipo SendGrid/Twilio). No se prevén transferencias internacionales de datos operacionales del Cliente fuera del Espacio Económico Europeo (EEE).

El único servicio transversal que podría implicar paso de datos por servidores fuera del EEE es Stripe (procesamiento de pagos, no activo todavía en producción). Cuando se active, se aplicarán las Cláusulas Contractuales Tipo (SCC) aprobadas por la Decisión de Ejecución (UE) 2021/914 de la Comisión Europea, así como medidas suplementarias cuando sean necesarias conforme a la jurisprudencia Schrems II.

Cualquier nueva transferencia internacional de datos operacionales material se notificará al Cliente conforme al procedimiento de la cláusula 5 sobre subprocesadores.

10. Auditorías

El Cliente tiene derecho a verificar el cumplimiento por parte del Encargado de las obligaciones de este DPA, conforme al art. 28.3.h RGPD. Para ello:

El Encargado pondrá a disposición del Cliente, a requerimiento por escrito, la información razonablemente necesaria (políticas de seguridad, resultados ejecutivos de tests de seguridad bajo NDA, certificaciones aplicables).
El Cliente podrá solicitar, una vez al año salvo causa justificada, una auditoría documental remota (cuestionario tipo CAIQ o equivalente) sin coste.
Una auditoría in situ en las instalaciones del Encargado requiere preaviso por escrito de al menos 60 días naturales, debe coordinarse para minimizar la disrupción del servicio y se realizará en días laborables. El Cliente correrá con los costes de su auditor; los costes razonables del personal del Encargado podrán repercutirse para auditorías superiores a un día.
Las auditorías deben respetar la confidencialidad de información de otros clientes y de propiedad intelectual del Encargado.

11. Fin del tratamiento

A la finalización del contrato de suscripción, sea por la causa que fuere:

El Encargado ofrecerá al Cliente, durante un plazo de 30 días naturales a contar desde la finalización efectiva, la posibilidad de exportar sus datos en formato estructurado y legible (CSV, JSON o equivalentes).
Transcurrido dicho plazo, salvo instrucción contraria documentada del Cliente, el Encargado procederá a la supresión de todos los datos personales bajo su control, incluyendo backups, en un plazo razonable conforme a las políticas internas de rotación de backups (máximo 60 días adicionales).
El Encargado podrá conservar los datos estrictamente necesarios para el cumplimiento de obligaciones legales (fiscales, contables, defensa frente a reclamaciones) durante los plazos exigidos por la normativa aplicable.
El Encargado proporcionará al Cliente, a petición, certificado de supresión.

12. Responsabilidad

Cada parte responderá frente a la otra de los daños y perjuicios causados por el incumplimiento de las obligaciones de este DPA, conforme al art. 82 RGPD y a la legislación aplicable.

Sin perjuicio de lo anterior, la responsabilidad del Encargado frente al Cliente por el conjunto de incidencias derivadas de este DPA queda limitada, salvo dolo o culpa grave, a los importes y términos previstos en los Términos del Servicio aplicables.

13. Disposiciones generales

Modificación del DPA

El Encargado podrá actualizar este DPA para reflejar cambios normativos o de práctica del sector. Los cambios materiales se notificarán al Cliente con al menos 30 días naturales de antelación. Si los cambios son desfavorables para el Cliente, éste podrá resolver el contrato sin penalización dentro de los 30 días siguientes a la notificación.

Ley aplicable y jurisdicción

Este DPA se rige por el Derecho español y, en lo aplicable, por el Derecho de la Unión Europea. Para cualquier controversia derivada de su interpretación o ejecución, las partes se someten a los Juzgados y Tribunales de Lleida capital, con renuncia expresa a cualquier otro fuero que pudiera corresponderles, salvo norma imperativa en contrario para consumidores.

Prevalencia

En caso de contradicción entre este DPA y los Términos del Servicio en materia de protección de datos, prevalecerá lo dispuesto en este DPA.

Idioma

Versión oficial: español. Las traducciones a otros idiomas son orientativas y no tienen valor contractual.

Documento publicado por APLIUM Aplicaciones Telemáticas, S.L.U. en cumplimiento del art. 28 del Reglamento (UE) 2016/679 y de la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales. Versión 1.0 · 15 mayo 2026.

📌 Nota: esta es la versión estándar pública del DPA. Para contratos Enterprise o cuando el Cliente lo requiera, ofrecemos una versión personalizada y firmada electrónicamente. Solicítala en aplium@aplium.com.

← Volver al inicio · Trust Center · Subprocesadores · Privacidad