Acuerdo de Encargado del Tratamiento
Versión 1.1 · Vigente desde el 4 de mayo de 2026
Este Acuerdo de Encargado del Tratamiento (en adelante, «DPA», por sus siglas en inglés Data Processing Agreement) regula el tratamiento de datos personales que Humart Services realiza por cuenta del Cliente (restaurante u otro establecimiento contratante) en el marco de la prestación del servicio Humart Services. Se firma conforme al artículo 28 del Reglamento (UE) 2016/679 (RGPD) y forma parte integrante de los Términos y Condiciones.
1. Partes
Encargado del Tratamiento:
David Martín Cruz — Humart Services
DNI: 47661088M
Domicilio: C/ Santiago Rusiñol n.º 2, 08830, Sant Boi de Llobregat (Barcelona)
Email: hola@humartservices.es
Responsable del Tratamiento:
El Cliente identificado en su cuenta de Humart Services, cuyos datos figuran en el panel de administración y en las facturas emitidas. Para los efectos de este DPA, «Cliente» significa el restaurante o establecimiento que contrata el servicio.
2. Objeto
El Cliente, en su condición de Responsable del Tratamiento, encarga a Humart Services el tratamiento de los datos personales que se describen en la Cláusula 4 con la única finalidad de prestar el servicio contratado.
3. Duración
Este DPA es eficaz desde el momento de la aceptación por el Cliente y permanecerá vigente mientras se mantenga la relación contractual entre las Partes. A su finalización se aplicará lo dispuesto en la Cláusula 11.
4. Naturaleza, finalidad y categorías del tratamiento
4.1 Naturaleza y finalidad
Humart Services tratará datos personales por cuenta del Cliente con las siguientes finalidades:
- Recibir, interpretar y responder a mensajes de WhatsApp de los clientes finales del Cliente.
- Gestionar pedidos, reservas y comunicaciones relacionadas con el servicio del Cliente.
- Generar enlaces de pago y registrar el resultado de las transacciones (sin tratar datos de tarjetas).
- Sincronizar reservas con Google Calendar cuando el Cliente lo configure.
- Enviar SMS a los clientes finales del Cliente (transaccionales y comerciales) vía LabsMobile, con consentimiento expreso o bajo el supuesto de soft opt-in del art. 21.2 LSSI cuando proceda. Cada SMS comercial incluye automáticamente el enlace de baja gratuita.
- Ejecutar automatizaciones configuradas por el Cliente (envíos a email, Telegram, Google Sheets, SMS) que reaccionan a eventos del sistema según las reglas When/If/Then definidas en el panel.
- Disparar webhooks salientes firmados con HMAC-SHA256 hacia URLs HTTP indicadas por el Cliente, cuando éste activa el add-on correspondiente.
- Mostrar al Cliente, a través del panel, los datos necesarios para la operativa del restaurante.
- Conservar registros de actividad y logs técnicos a efectos de seguridad y resolución de incidencias.
4.2 Categorías de interesados
- Clientes finales del Cliente que contactan vía WhatsApp con el restaurante.
- Personal del Cliente con acceso al panel de administración.
4.3 Categorías de datos personales
| Categoría | Ejemplos |
|---|---|
| Identificación | Número de WhatsApp y/o de móvil del cliente final, nombre cuando lo facilite, alias o apodo. |
| Contacto | Dirección de entrega para pedidos a domicilio, indicaciones del repartidor. |
| Transaccionales | Productos pedidos, importes, fecha y hora, método de pago, identificadores de transacción (no incluye datos de tarjeta). |
| Reservas | Fecha, hora, número de comensales, peticiones especiales (alergias declaradas voluntariamente). |
| Conversacionales | Contenido de los mensajes intercambiados con el bot del restaurante (WhatsApp y SMS). |
| Consentimientos | Estado del opt-in/opt-out por canal (WhatsApp, SMS), fecha, fuente del consentimiento, versión de los términos aceptados. |
| Técnicos | Logs de actividad, identificadores de mensaje de WhatsApp/SMS, marcas de tiempo, estado de entrega y motivo de fallo. |
| Personal del Cliente | Nombre, email, rol asignado en el panel, registros de acceso. |
5. Obligaciones del Encargado del Tratamiento
Humart Services, como Encargado del Tratamiento, se obliga a:
- Tratar los datos únicamente siguiendo las instrucciones documentadas del Cliente, salvo obligación legal que requiera otra cosa, en cuyo caso lo notificará previamente al Cliente.
- Garantizar la confidencialidad mediante compromisos contractuales con el personal autorizado a acceder a los datos.
- Aplicar las medidas técnicas y organizativas apropiadas conforme al artículo 32 del RGPD, descritas en la Cláusula 7.
- No subcontratar el tratamiento sin la autorización previa del Cliente. La lista de subencargados autorizados se publica en la Cláusula 6 y en los Términos; el Cliente la acepta al firmar este DPA.
- Asistir al Cliente en el cumplimiento de las solicitudes de derechos de los interesados (art. 15–22 RGPD), aplicando las medidas técnicas oportunas.
- Asistir al Cliente en el cumplimiento de sus obligaciones de seguridad, evaluaciones de impacto y consulta previa a la AEPD, en la medida en que tenga la información disponible.
- Notificar al Cliente cualquier brecha de seguridad de datos personales en un plazo máximo de 72 horas desde que tenga conocimiento de la misma, conforme a la Cláusula 8.
- Devolver o eliminar los datos personales al final de la prestación del servicio, conforme a la Cláusula 11.
- Poner a disposición del Cliente toda la información necesaria para demostrar el cumplimiento de las obligaciones del artículo 28 del RGPD, y permitir auditorías conforme a la Cláusula 9.
- No utilizar los datos para entrenar modelos de inteligencia artificial, ni de Humart Services ni de sus subencargados.
6. Subencargados del Tratamiento
El Cliente autoriza a Humart Services a subcontratar el tratamiento con los siguientes subencargados:
| Subencargado | Finalidad | Ubicación | Garantías de transferencia |
|---|---|---|---|
| Meta Platforms Ireland Ltd. | API de WhatsApp Business para mensajería entrante y saliente | Irlanda con tratamiento adicional en EE. UU. | SCC + EU–U.S. Data Privacy Framework |
| Google Ireland Ltd. | Gemini API (interpretación de lenguaje natural) y Google Calendar API (sincronización de reservas) | Irlanda con tratamiento adicional en EE. UU. | SCC + EU–U.S. Data Privacy Framework |
| Monei Digital S.L. | Pasarela de pagos (suscripciones del Cliente, pedidos del cliente final, packs de créditos SMS). Procesa los datos de tarjeta directamente; Humart Services no los recibe ni almacena. | España | EEE |
| LabsMobile S.L. | Envío de SMS al cliente final (transaccionales y comerciales). Alias alfanumerérico registrado oficialmente ante la CNMC. Trata el número de móvil destino y el contenido del mensaje únicamente para la entrega. | España | EEE |
| IONOS Cloud S.L. | Alojamiento de la infraestructura, base de datos y backups | España | EEE |
| Proveedor SMTP (configurable por el Cliente) | Envío de emails transaccionales (confirmaciones de reserva, facturas, recuperación de contraseña) | Según elección del Cliente | El Cliente es responsable del proveedor que configure |
| Telegram Messenger Inc. (opcional) | Solo si el Cliente activa el destino «Telegram» en automatizaciones. Recibe el contenido del mensaje y el ID del chat/canal indicado por el Cliente. | EE. UU. / Internacional | SCC. El Cliente es responsable del grupo o canal que configure. |
| Google Ireland Ltd. — Sheets API (opcional) | Solo si el Cliente activa el destino «Google Sheets» en automatizaciones. Escribe filas en la hoja autorizada por el Cliente vía OAuth. | Irlanda / EE. UU. | SCC + EU–U.S. Data Privacy Framework |
| Endpoints HTTP del Cliente (opcional) | Solo si el Cliente activa el add-on «Webhooks salientes». Humart Services emite POST firmados con HMAC-SHA256 hacia las URLs configuradas. El Cliente garantiza la legalidad y seguridad del receptor. | Según endpoint | Bajo responsabilidad del Cliente |
Humart Services notificará al Cliente con al menos 30 días de antelación cualquier cambio o incorporación de subencargados. Si el Cliente se opone por motivos legítimos relacionados con la protección de datos, las Partes intentarán una solución; de no alcanzarla, el Cliente podrá resolver el contrato sin penalización.
7. Medidas técnicas y organizativas
Humart Services aplica las siguientes medidas conforme al artículo 32 del RGPD:
7.1 Seguridad técnica
- Cifrado de datos en tránsito mediante TLS 1.2 o superior.
- Cifrado de datos en reposo en la base de datos.
- Cifrado de credenciales sensibles (claves API, tokens OAuth) mediante AES-256 con clave maestra protegida.
- Verificación de firma HMAC en los webhooks de WhatsApp para evitar suplantación.
- Backups diarios cifrados, con retención mínima de 7 días.
- Monitorización y alertas sobre eventos de seguridad.
- Aplicación periódica de parches de seguridad y actualizaciones de dependencias.
7.2 Control de acceso
- Acceso al panel mediante autenticación con contraseña y, opcionalmente, segundo factor.
- Sistema de roles dentro del panel del Cliente (OWNER, MANAGER, KITCHEN, WAITER), aplicado mediante autorización granular.
- Aislamiento multi-tenant: cada Cliente solo puede acceder a sus propios datos. Las consultas a la base de datos se filtran por tenantId y se han revisado para evitar IDOR.
- Límite de intentos de autenticación para mitigar ataques de fuerza bruta.
- Acceso del personal de Humart Services restringido al mínimo necesario, registrado y trazable.
7.3 Resiliencia y disponibilidad
- Backup automático diario de la base de datos.
- Procedimiento documentado de restauración.
- Objetivo de disponibilidad del 99% mensual (sin SLA contractual reforzado salvo acuerdo Enterprise).
7.4 Garantías sobre IA
- El proveedor de IA (Google Gemini) opera bajo el modelo de pago, sometido a las condiciones empresariales de Google que prohiben el uso de datos para entrenamiento.
- No se envían a la IA datos del calendario distintos de los bloques de disponibilidad (ni nombres, descripciones, ubicaciones ni asistentes).
- No se envían a la IA datos de pago.
- Las decisiones operativas relevantes (confirmación de pedidos y reservas) son revisadas por el Cliente; no existen decisiones automatizadas con efectos jurídicos en el sentido del artículo 22 del RGPD.
8. Notificación de brechas de seguridad
Humart Services notificará al Cliente toda brecha de seguridad de datos personales sin demora indebida y, en cualquier caso, en un plazo no superior a 72 horas desde que tenga conocimiento de la misma. La notificación incluirá:
- Naturaleza de la brecha y categorías e número aproximado de interesados afectados.
- Datos de contacto del responsable técnico de Humart Services.
- Consecuencias probables de la brecha.
- Medidas adoptadas o propuestas para resolverla y mitigar sus efectos.
El Cliente, como Responsable del Tratamiento, es quien tiene la obligación de notificar a la AEPD y, en su caso, a los interesados.
9. Auditoría
El Cliente tiene derecho a verificar el cumplimiento de este DPA por parte de Humart Services mediante:
- Solicitud de información por email a hola@humartservices.es, que se atenderá en un plazo máximo de 30 días.
- Auditoría in situ con preaviso mínimo de 30 días, durante el horario laboral, no más de una vez al año (salvo brecha de seguridad confirmada). Los costes de la auditoría corren a cargo del Cliente, salvo que se constate un incumplimiento sustancial de Humart Services.
10. Asistencia al Responsable
Humart Services asistirá al Cliente, mediante medidas técnicas y organizativas adecuadas, en el cumplimiento de las siguientes obligaciones:
10.1 Atención a derechos de los interesados
Humart Services pone a disposición del Cliente, a través del panel y de la API, herramientas para atender solicitudes de:
- Derecho de acceso (art. 15 RGPD): exportación de los datos personales de un cliente final identificado por su número de WhatsApp.
- Derecho de rectificación (art. 16 RGPD): edición manual de datos en el panel.
- Derecho de supresión (art. 17 RGPD): eliminación permanente del cliente final y de todos sus datos asociados, también disponible vía comando «BORRAR» en el propio chat de WhatsApp del cliente final.
- Derecho de portabilidad (art. 20 RGPD): exportación estructurada en formato JSON.
- Derecho de oposición (art. 21 RGPD): exclusión del cliente final del procesamiento automático.
10.2 Evaluaciones de impacto y consulta previa
Humart Services proporcionará al Cliente la información disponible sobre las medidas técnicas y de seguridad para que el Cliente pueda completar, en su caso, una evaluación de impacto (art. 35 RGPD) o una consulta previa a la AEPD (art. 36 RGPD).
11. Devolución o supresión de los datos
Una vez finalizada la prestación del servicio, Humart Services, a elección del Cliente:
- Devolverá los datos personales al Cliente en un formato estructurado de uso común, en un plazo máximo de 30 días desde la solicitud, o
- Suprimirá de forma segura los datos personales en el plazo máximo de 30 días desde la finalización del servicio.
En ambos casos, las copias de seguridad serán eliminadas dentro del ciclo de retención de backups (máximo 90 días). Humart Services podrá conservar únicamente los datos mínimos exigidos por obligación legal (en particular, datos de facturación por 6 años conforme al art. 30 del Código de Comercio), debidamente bloqueados.
12. Responsabilidad
Cada Parte responderá frente a la otra de los daños derivados del incumplimiento de las obligaciones que le incumben en este DPA. La responsabilidad máxima de Humart Services bajo este DPA queda limitada conforme a lo dispuesto en los Términos y Condiciones.
13. Versiones y modificaciones
Humart Services podrá actualizar este DPA notificándolo al Cliente con al menos 30 días de antelación. Las modificaciones que sean exigidas por cambios normativos podrán entrar en vigor en plazos más breves cuando sea estrictamente necesario para el cumplimiento legal. La versión vigente está siempre disponible en humartservices.es/dpa.
14. Ley aplicable y jurisdicción
Este DPA se rige por la legislación española y, en particular, por el RGPD y la LOPDGDD. Las controversias se someterán a los Juzgados y Tribunales de Barcelona.
15. Contacto
Para cuestiones relativas a este DPA o a la protección de datos:
David Martín Cruz — Humart Services
C/ Santiago Rusiñol n.º 2, 08830, Sant Boi de Llobregat (Barcelona)
Email: hola@humartservices.es