Acuerdo de Encargo del Tratamiento

1. ¿Qué es un DPA y por qué es obligatorio?

El Acuerdo de Encargo del Tratamiento (en inglés, Data Processing Agreement o DPA) es el contrato que el Reglamento General de Protección de Datos de la UE (RGPD) exige formalizar cuando una empresa cede el tratamiento de datos personales a un tercero (el «encargado del tratamiento»).

Su base legal es el artículo 28 del RGPD (UE) 2016/679. Sin este acuerdo, el tratamiento de datos por parte del encargado carecería de cobertura legal y tanto el responsable como el encargado estarían expuestos a sanciones de la Agencia Española de Protección de Datos (AEPD).

2. Roles en el tratamiento de datos

• Responsable del tratamiento: el asesor contable o despacho que contrata Lumero. Usted decide qué datos contables se suben, con qué finalidad y durante cuánto tiempo.
• Encargado del tratamiento: Argamo Consulting SL, operadora de Lumero (CIF B86787389, clientes@lumero.es). Lumero procesa los datos contables exclusivamente para prestar el servicio de revisión contable contratado, siguiendo las instrucciones del responsable.
• Subencargados del tratamiento: proveedores tecnológicos que Lumero utiliza para prestar el servicio (Supabase para base de datos, Vercel para hosting, Anthropic para el análisis de IA), todos ellos sujetos a contratos que garantizan el cumplimiento del RGPD.

3. Compromisos de Lumero como encargado del tratamiento

Conforme al artículo 28 RGPD, Lumero se compromete a:

• Tratar los datos contables únicamente según las instrucciones documentadas del responsable (el asesor).
• Garantizar que las personas autorizadas para tratar los datos están sujetas a deber de confidencialidad.
• Aplicar las medidas técnicas y organizativas apropiadas para garantizar la seguridad de los datos (cifrado en tránsito con TLS 1.3, cifrado en reposo, control de acceso por roles, copias de seguridad automatizadas).
• Ayudar al responsable a responder a las solicitudes de ejercicio de derechos de los interesados.
• Suprimir o devolver los datos al responsable al finalizar la prestación del servicio, eliminándolos de todos sus sistemas en el plazo de 30 días tras la baja.
• Poner a disposición del responsable toda la información necesaria para demostrar el cumplimiento del artículo 28 RGPD.
• No contratar subencargados adicionales sin informar previamente al responsable y darle la oportunidad de oponerse.

4. Documento DPA completo

El DPA completo y formalmente ejecutado entre Argamo Consulting SL y el asesor contable está disponible para descarga. El documento incluye el clausulado completo exigido por el artículo 28 RGPD, el Anexo I (descripción del tratamiento: categorías de datos, finalidades, plazo de conservación) y el Anexo II (medidas técnicas y organizativas).

Si necesita el DPA con carácter urgente o tiene preguntas sobre su contenido, puede contactarnos directamente en clientes@lumero.es con el asunto «DPA — Solicitud» y le enviaremos el borrador actualizado.

5. Obligaciones del asesor como responsable del tratamiento

Al suscribir Lumero, el asesor declara y garantiza que:

• Dispone de base legal suficiente (contrato, interés legítimo o consentimiento) para tratar los datos contables de sus clientes.
• Ha incluido en sus contratos o avisos de privacidad con sus clientes la posibilidad de utilizar herramientas tecnológicas para el análisis contable.
• No sube a Lumero datos especiales (art. 9 RGPD: datos de salud, orientación sexual, creencias religiosas, etc.) innecesarios para la revisión contable.
• Dará respuesta a los ejercicios de derechos de sus propios clientes referidos a los datos tratados en Lumero, con la colaboración de Lumero cuando sea necesario.

6. Contacto para asuntos relacionados con el DPA

Para cualquier consulta sobre el tratamiento de datos, la firma del DPA o los subencargados de tratamiento, puede contactar con nosotros en clientes@lumero.es indicando «DPA» en el asunto. Atendemos las solicitudes en días laborables.