Acuerdo de Encargado del Tratamiento (DPA)
Documento modelo conforme al artículo 28 del Reglamento (UE) 2016/679 (RGPD) y al artículo 33 de la LOPDGDD. Última revisión: 22 de mayo de 2026.
1. Partes
Denominación: [Razón social del Cliente]
NIF/CIF: [NIF]
Domicilio: [Domicilio social]
Representante: [Nombre y cargo]
Email de contacto: [email]
Denominación: Giormo, S.L.
NIF: B13389770
Domicilio: Av. de la Ciencia 1, 13005 Ciudad Real, España
Representante: [Nombre y cargo del firmante por Giormo]
Email de contacto: info@giormo.com
Ambas partes se reconocen mutuamente capacidad legal suficiente para suscribir el presente Acuerdo de Encargado del Tratamiento (en adelante, "Acuerdo" o "DPA").
2. Definiciones
Salvo definición en contrario en el presente Acuerdo, los términos en mayúscula tendrán el significado atribuido por el RGPD. En particular:
- "Servicio": la plataforma SaaS de gestión logística operada por Giormo y accesible bajo el subdominio [cliente.giormo.com], junto con todos los módulos contratados (pedidos, planificación, facturación, GPS, calidad, taller, PWA conductor, etc.).
- "Datos Personales": los datos personales tratados por el Encargado en nombre del Responsable en el contexto del Servicio, descritos en el Anexo I.
- "Interesados": las personas físicas a quienes se refieren los Datos Personales (conductores, empleados administrativos del Cliente, contactos de terceros, clientes finales del Cliente, etc.).
- "Subencargado": cualquier tercero contratado por Giormo para tratar Datos Personales en nombre del Responsable.
- "Violación": cualquier violación de la seguridad que ocasione la destrucción, pérdida, alteración, comunicación o acceso no autorizado a los Datos Personales (art. 4.12 RGPD).
3. Objeto, naturaleza y finalidad del tratamiento
- El presente Acuerdo regula el tratamiento de Datos Personales que Giormo realiza por cuenta del Cliente en el contexto de la prestación del Servicio.
- Giormo trata los Datos Personales exclusivamente siguiendo las instrucciones documentadas del Cliente, incluyendo las contenidas en este Acuerdo, en el contrato principal y las que el Cliente comunique por escrito durante la vigencia del mismo.
- Si Giormo considera que una instrucción del Cliente infringe el RGPD u otra normativa aplicable, lo informará inmediatamente al Cliente.
- La descripción detallada del tratamiento (categorías de interesados, categorías de datos, finalidades y duración) se recoge en el Anexo I.
4. Duración
El presente Acuerdo entrará en vigor en la fecha de la firma y permanecerá vigente mientras dure la relación contractual entre las partes para la prestación del Servicio. Una vez finalizada dicha relación, seguirán siendo de aplicación las obligaciones de devolución o supresión de datos (cláusula 11) y de confidencialidad.
5. Obligaciones del Encargado
Giormo, conforme al art. 28.3 RGPD, se compromete a:
- Tratar los Datos Personales únicamente con la finalidad de prestar el Servicio y siguiendo las instrucciones del Cliente.
- Garantizar que las personas autorizadas para tratar los Datos Personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación legal de confidencialidad.
- Aplicar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, descritas en el Anexo II.
- Respetar las condiciones para recurrir a Subencargados conforme a la cláusula 6.
- Asistir al Cliente en la atención de los derechos de los Interesados y en el cumplimiento de las obligaciones de los artículos 32 a 36 RGPD, conforme a la cláusula 8.
- Suprimir o devolver los Datos Personales al final de la prestación del Servicio, conforme a la cláusula 11.
- Poner a disposición del Cliente toda la información necesaria para demostrar el cumplimiento de las obligaciones del art. 28 RGPD, conforme a la cláusula 12.
- Llevar el registro de actividades de tratamiento de los Encargados previsto en el art. 30.2 RGPD.
6. Subencargados
- El Cliente autoriza con carácter general a Giormo a recurrir a los Subencargados listados en el Anexo III.
- Giormo informará al Cliente con al menos 30 días de antelación de cualquier cambio en la lista de Subencargados, ya sea por adición o sustitución, mediante notificación por correo electrónico al contacto designado por el Cliente.
- El Cliente podrá oponerse motivadamente al nuevo Subencargado dentro de ese plazo. En caso de oposición, las partes negociarán de buena fe una solución; en su defecto, el Cliente podrá resolver la prestación del Servicio sin penalización.
- Giormo impondrá a cada Subencargado, mediante contrato, las mismas obligaciones de protección de datos asumidas en el presente Acuerdo (art. 28.4 RGPD), y responderá frente al Cliente del incumplimiento del Subencargado.
7. Medidas de seguridad
Giormo aplica las medidas técnicas y organizativas descritas en el Anexo II, evaluadas conforme al art. 32 RGPD teniendo en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos para los derechos y libertades de los Interesados.
8. Asistencia al Responsable
- Derechos de los Interesados: Giormo asistirá al Cliente, mediante medidas técnicas y organizativas apropiadas, para que pueda cumplir con su obligación de responder a las solicitudes de ejercicio de derechos previstas en los arts. 15-22 RGPD. En particular, la plataforma ofrece al Cliente herramientas administrativas para acceder, rectificar, exportar y suprimir Datos Personales de Interesados concretos.
- Evaluaciones de impacto: Giormo asistirá al Cliente, cuando éste lo solicite y a su coste, en la elaboración de evaluaciones de impacto relativas a la protección de datos (art. 35 RGPD) y en las consultas previas a la autoridad de control (art. 36 RGPD).
9. Notificación de violaciones de seguridad
- Giormo notificará al Cliente, sin dilación indebida y en cualquier caso en un plazo máximo de 48 horas desde que tenga constancia, cualquier Violación de Datos Personales que afecte al Servicio.
- La notificación incluirá, en la medida de lo posible: descripción de la naturaleza de la Violación, categorías y número aproximado de Interesados y registros afectados, datos de contacto del DPO o punto de contacto donde obtener más información, consecuencias probables y medidas adoptadas o propuestas para mitigar los efectos.
- Si no fuera posible facilitar la información simultáneamente, ésta se proporcionará por fases sin más dilación indebida.
- Giormo cooperará con el Cliente para la notificación a la autoridad de control y, en su caso, a los Interesados, sin que ello suponga reconocimiento de responsabilidad.
10. Transferencias internacionales
- Giormo trata los Datos Personales dentro del Espacio Económico Europeo (EEE). La infraestructura principal (Google Cloud Platform) se encuentra en la región europe-southwest1 (Madrid, España).
- En el supuesto de que, para la prestación del Servicio, fuera necesario realizar una transferencia internacional fuera del EEE, ésta se llevará a cabo cumpliendo alguno de los mecanismos previstos en el Capítulo V del RGPD (decisión de adecuación, cláusulas contractuales tipo, normas corporativas vinculantes, etc.) e informando previamente al Cliente.
11. Devolución o supresión al fin del encargo
- Una vez finalizada la prestación del Servicio, Giormo, a elección del Cliente comunicada por escrito en un plazo de 30 días desde la finalización, procederá a:
- Devolver al Cliente los Datos Personales en formato estructurado, de uso común y lectura mecánica (SQL, CSV, JSON, según corresponda); o
- Suprimir los Datos Personales de sus sistemas y los de sus Subencargados, así como las copias existentes.
- Transcurrido dicho plazo sin instrucciones del Cliente, Giormo procederá a la supresión de los Datos Personales.
- Las copias de seguridad cifradas se conservarán durante un máximo de 90 días adicionales por razones de continuidad operativa y se suprimirán automáticamente al expirar dicho plazo.
- Giormo podrá conservar los Datos Personales cuando una norma jurídica le imponga su conservación, en cuyo caso se limitará el tratamiento al cumplimiento de dicha obligación.
12. Auditorías
- Giormo pondrá a disposición del Cliente, a requerimiento de éste, la documentación necesaria para acreditar el cumplimiento del presente Acuerdo y permitirá la realización de auditorías, incluidas inspecciones, por parte del Cliente o de un auditor autorizado.
- Las auditorías se realizarán con un preaviso de al menos 30 días, en horario laboral, sin interferir en la operativa de Giormo, y con un máximo de una auditoría al año salvo en caso de incidente acreditado.
- El coste razonable de la auditoría correrá a cargo del Cliente, salvo que se constate un incumplimiento imputable a Giormo, en cuyo caso lo asumirá Giormo.
13. Responsabilidad y régimen sancionador
Cada parte responderá frente a la otra y frente a las autoridades de control y los Interesados de los daños y perjuicios derivados del incumplimiento de sus respectivas obligaciones conforme al art. 82 RGPD y al art. 73 LOPDGDD. El Encargado responderá específicamente del incumplimiento de las obligaciones del RGPD dirigidas específicamente a los encargados y de las instrucciones lícitas del Responsable.
14. Ley aplicable y jurisdicción
El presente Acuerdo se rige por la legislación española y por el RGPD. Para la resolución de cualquier controversia derivada del mismo, las partes se someten expresamente a los Juzgados y Tribunales de Ciudad Real, con renuncia a cualquier otro fuero que pudiera corresponderles.
Anexo I — Descripción del tratamiento
| Objeto del tratamiento | Gestión logística integral (pedidos, planificación, facturación, seguimiento GPS, calidad, taller, comunicación con conductores) para la operativa del Cliente. |
|---|---|
| Duración | Mientras esté vigente la prestación del Servicio. |
| Naturaleza y finalidad | Almacenamiento, consulta, modificación, transmisión, comunicación interna entre usuarios del Cliente, generación de documentos (PDF, e-factura), análisis estadísticos internos. |
| Tipo de Datos Personales |
|
| Categorías especiales (art. 9 RGPD) | No se tratan de forma estructural. El Cliente se compromete a no introducir en la plataforma datos de salud, biométricos u otros del art. 9 sin notificación previa y sin acuerdo específico complementario. |
| Categorías de Interesados |
|
Anexo II — Medidas técnicas y organizativas
Giormo aplica las siguientes medidas, evaluadas conforme al art. 32 RGPD:
Cifrado en tránsito
- HTTPS/TLS 1.2+ obligatorio en todos los dominios mediante certificados Let's Encrypt con renovación automática.
- HSTS habilitado.
Cifrado en reposo
- Credenciales sensibles (cuentas IMAP/SMTP, tokens de integración) cifradas con AES-256-GCM con clave derivada por tenant.
- Contraseñas de usuario almacenadas con bcrypt (10 rondas).
- Backups de base de datos cifrados.
Control de acceso
- Autenticación basada en token (JWT) con caducidad.
- Control de acceso basado en roles (RBAC) configurable por el Cliente.
- Aislamiento estricto multi-tenant: cada Cliente dispone de una base de datos lógica separada con políticas de Row Level Security (RLS) que impiden el acceso cruzado a nivel de motor PostgreSQL.
- Trazabilidad de operaciones críticas (pedidos, facturación, accesos administrativos) en logs de auditoría.
Seguridad de la infraestructura
- Detección de intrusiones con CrowdSec y baneo automático de IPs maliciosas.
- Antivirus ClamAV escaneando cualquier archivo subido por usuarios.
- Contenedores Docker aislados, principio de mínimo privilegio, secretos gestionados fuera del repositorio.
- Monitorización con healthchecks y alertas automatizadas.
- Despliegue atómico con capacidad de rollback en segundos.
Continuidad y respaldo
- Backups automáticos diarios de la base de datos, cifrados y con retención de 30 días.
- Réplica off-site (región geográficamente distinta) para los Clientes que lo contraten.
Organización
- Acceso al entorno productivo limitado al personal técnico estrictamente necesario, con compromisos de confidencialidad firmados.
- Procedimiento documentado de gestión de incidentes y notificación de Violaciones.
- Revisiones periódicas de logs y permisos.
Anexo III — Lista de subencargados autorizados
A fecha de firma del presente Acuerdo, Giormo recurre a los siguientes Subencargados que tratan Datos Personales por cuenta del Cliente para la prestación del Servicio:
| Subencargado | Finalidad | Ubicación |
|---|---|---|
| Google Cloud EMEA Ltd. | Hosting de la aplicación principal y de la base de datos | España (UE) |
| Contabo GmbH | Servidor de correo electrónico utilizado por el Cliente desde la plataforma | Alemania (UE) |
| Google Ireland Ltd. (Firebase Cloud Messaging) | Envío de notificaciones push a la aplicación del conductor | Irlanda (UE); en caso de tránsito ocasional fuera del EEE, aplican las cláusulas contractuales tipo del proveedor |
| Google Ireland Ltd. (servicios de IA documental) | Sólo si el Cliente activa la lectura asistida de documentos (facturas, partes, fichas técnicas) | Irlanda (UE) |
El resto de componentes técnicos del Servicio (motor de cálculo de rutas, recepción de posiciones GPS, antivirus, detección de intrusiones, gestión de certificados, etc.) están operados directamente por Giormo, S.L. sobre la infraestructura indicada en la primera fila y no constituyen subencargados en el sentido del art. 28 RGPD.
Actualizaciones: Giormo publicará en https://giormo.com/legal/dpa/ la versión vigente de este listado y notificará al Cliente, conforme a la cláusula 6, cualquier alta o sustitución de Subencargados con la antelación allí prevista.
Integraciones opcionales: si el Cliente contrata módulos que requieran proveedores adicionales (p. ej. plataformas concretas de telemetría GPS, pasarelas de facturación electrónica o servicios de tacógrafo), se firmará la oportuna adenda identificando dichos Subencargados.
Nombre: [Nombre]
Cargo: [Cargo]
Fecha: [DD/MM/AAAA]
Nombre: [Nombre]
Cargo: [Cargo]
Fecha: [DD/MM/AAAA]