Acuerdo de Encargado de Tratamiento (DPA)

Última actualización: 2026-05-24

El presente Acuerdo de Encargado de Tratamiento (en adelante, el "DPA" o el "Acuerdo") regula la relación entre:

  • EL RESPONSABLE DEL TRATAMIENTO — el profesional veterinario u otra persona física o jurídica titular de una cuenta en MUCCA que determina los fines y medios del tratamiento de los datos personales de sus propios clientes y pacientes a través del Servicio (en adelante, el "Responsable"); y
  • EL ENCARGADO DEL TRATAMIENTORicardo Santiago Gómez Bugeda, NIF 26749899W, con domicilio profesional en Calle Proyecte nº 10, 46118 Serra (Valencia), España, en condición de titular de la plataforma MUCCA (en adelante, "MUCCA" o el "Encargado").

Este DPA se celebra al amparo del artículo 28 del Reglamento (UE) 2016/679 (RGPD), de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) y demás normativa aplicable. Forma parte integrante del contrato principal entre el Responsable y MUCCA (los Términos y Condiciones y, en su caso, las condiciones específicas aplicables al perfil del Responsable). En caso de contradicción entre este DPA y otros documentos en relación con la protección de datos, prevalecerá lo dispuesto en este DPA.

La aceptación de los Términos y Condiciones por el Responsable implica la aceptación expresa de este DPA.

1. Objeto del Acuerdo

El presente DPA regula el tratamiento por parte del Encargado, en nombre y por cuenta del Responsable, de los datos personales que el Responsable introduzca o gestione en el Servicio respecto de sus propios clientes (ganaderos, particulares con animales) y pacientes (animales y la documentación clínica y administrativa asociada).

2. Detalles del tratamiento

AspectoDescripción
ObjetoPrestación del Servicio MUCCA, incluyendo almacenamiento, procesamiento, visualización, exportación y eliminación de los datos personales del Responsable conforme a sus instrucciones.
DuraciónMientras esté vigente la relación contractual entre el Responsable y MUCCA. Las obligaciones que por su naturaleza deban subsistir, sobrevivirán a la terminación.
NaturalezaOperaciones automatizadas: almacenamiento, consulta, indexación, búsqueda, edición, exportación, eliminación.
FinalidadPrestar al Responsable las funcionalidades del Servicio descritas en el contrato principal.
Tipos de datos personalesDatos identificativos y de contacto del cliente del Responsable (nombre, NIF, dirección, teléfono, email); datos profesionales (REGA, número de colegiado del titular si aplica); datos clínicos del animal (especie, raza, edad, identificación, historial veterinario, tratamientos, prescripciones, libros REGA); datos económicos (importes de servicios facturados por el Responsable, métodos de cobro).
Categorías de interesadosClientes del Responsable (titulares de explotación o particulares con animales) y, indirectamente, animales bajo su titularidad (los datos del animal pueden estar asociados a una persona física titular).
Categorías especialesEl Servicio no está diseñado para almacenar categorías especiales del artículo 9 RGPD del Responsable; los datos clínicos se refieren a animales, no a personas. Excepcionalmente, podrían existir notas profesionales con datos de salud humana (p. ej., contexto de zoonosis); el Responsable se compromete a minimizar tales casos y, en su caso, a aplicar las garantías reforzadas que la normativa exige.

3. Obligaciones del Encargado

El Encargado se compromete a:

  1. Tratar los datos personales únicamente siguiendo las instrucciones documentadas del Responsable, salvo que esté obligado a otra cosa por el Derecho de la Unión o de un Estado miembro; en tal caso, informará previamente al Responsable, salvo prohibición legal por motivos de interés público.
  2. Garantizar la confidencialidad y obligar al mismo a su personal y subcontratistas, mediante acuerdos contractuales adecuados.
  3. Adoptar las medidas técnicas y organizativas apropiadas descritas en el Anexo II — Medidas de seguridad.
  4. No subcontratar ninguna parte del tratamiento sin la autorización previa del Responsable. A estos efectos, el Responsable autoriza expresamente, al aceptar este DPA, la subcontratación con los proveedores enumerados en el Anexo I — Subencargados, conforme al artículo 28.2 RGPD. MUCCA podrá incorporar nuevos subencargados o sustituir los actuales, comunicándolo al Responsable con un preaviso mínimo de 30 días, durante los cuales el Responsable podrá oponerse fundadamente; si la oposición es razonable y MUCCA no puede sustituir al nuevo subencargado, el Responsable podrá resolver el contrato sin penalización.
  5. Asistir al Responsable en la atención de los derechos de los interesados (artículos 12 a 22 RGPD), mediante las funcionalidades del Servicio o, cuando estas no basten, atendiendo razonablemente las solicitudes específicas del Responsable.
  6. Asistir al Responsable en el cumplimiento de las obligaciones de los artículos 32 a 36 RGPD, incluyendo la notificación de violaciones de seguridad y, en su caso, evaluaciones de impacto.
  7. Notificar al Responsable, sin dilación indebida y, en cualquier caso, dentro de las 72 horas siguientes a tener conocimiento, cualquier violación de la seguridad de los datos personales que afecten al Responsable, con la información mínima exigida por el artículo 33.3 RGPD. La notificación se realizará al correo electrónico asociado a la cuenta del Responsable.
  8. A elección del Responsable, devolver o suprimir todos los datos personales una vez finalice la prestación de los servicios, así como suprimir las copias existentes, salvo que se requiera la conservación por imperativo legal.
  9. Poner a disposición del Responsable la información necesaria para demostrar el cumplimiento de las obligaciones del artículo 28 RGPD, y permitir y contribuir a las auditorías, incluidas las inspecciones, realizadas por el Responsable o un auditor autorizado por él, en los términos del apartado 7 de este DPA.

4. Obligaciones del Responsable

El Responsable se compromete a:

  1. Disponer de base legítima para los tratamientos que realiza a través del Servicio y, cuando se requiera, recabar el consentimiento o cumplir cualquier otra base jurídica aplicable.
  2. Informar a sus propios clientes sobre el tratamiento de datos, incluyendo la utilización de MUCCA como encargado del tratamiento, conforme a los artículos 13 y 14 RGPD.
  3. Atender los derechos de los interesados que sus clientes le dirijan, sin perjuicio de la asistencia que MUCCA pueda prestar.
  4. Garantizar que las categorías especiales de datos introducidas en el Servicio se ajustan a una base jurídica válida del artículo 9 RGPD.
  5. No introducir datos de personas distintas a sus propios clientes o de terceros respecto de los que no haya legitimación para tratarlos.
  6. Mantener la confidencialidad de las credenciales de acceso al Servicio y de los datos exportados.

5. Subencargados

El Responsable autoriza, mediante la aceptación del presente DPA, la subcontratación con los proveedores listados en el Anexo I. Cada subencargado está vinculado contractualmente con MUCCA mediante un contrato que recoge las mismas obligaciones que las del presente DPA, en cumplimiento del artículo 28.4 RGPD.

MUCCA informará al Responsable de cualquier alta o sustitución de subencargados con un preaviso mínimo de 30 días naturales, dando opción al Responsable a oponerse fundadamente. Si la oposición fuera razonable y MUCCA no pudiera mantener al subencargado anterior, el Responsable podrá resolver el contrato sin penalización, conforme a la cláusula 3.4.

6. Transferencias internacionales

En los términos del Anexo I, algunos de los subencargados pueden suponer transferencias internacionales fuera del Espacio Económico Europeo. Para cada una, MUCCA garantiza la adopción de uno o varios de los mecanismos de transferencia válidos del Capítulo V RGPD:

  • Decisiones de adecuación de la Comisión Europea (por ejemplo, para el Reino Unido).
  • Marco de Privacidad de Datos UE-EE.UU., cuando el subencargado esté certificado.
  • Cláusulas Contractuales Tipo aprobadas por la Comisión Europea.

El Responsable puede solicitar copia de las garantías aplicadas escribiendo a legal@muccavet.com.

7. Auditorías

MUCCA pondrá a disposición del Responsable, ante solicitud razonable y con preaviso de 30 días naturales, la documentación necesaria para evidenciar el cumplimiento de este DPA. Las auditorías presenciales se limitarán a una al año, salvo incidente grave, y serán a costa del Responsable.

Las auditorías deberán:

  • Acordarse con antelación razonable y respetar la confidencialidad y la operativa de MUCCA y de los demás clientes del Encargado.
  • Realizarse en horario laboral.
  • Ir acompañadas, cuando MUCCA lo requiera, de la firma de los acuerdos de confidencialidad necesarios.

El Encargado podrá satisfacer su obligación de auditoría aportando informes de auditoría externos (ISO 27001, SOC 2, etc.) cuando estén disponibles.

8. Violaciones de seguridad

El Encargado mantiene un procedimiento documentado para detectar, registrar y notificar incidentes de seguridad. En caso de violación que afecte a los datos del Responsable:

  • Se notificará por correo electrónico al Responsable sin dilación indebida y, en todo caso, dentro de las 72 horas desde el conocimiento.
  • La notificación incluirá la información razonablemente disponible: descripción del incidente, categorías y volumen aproximado de interesados y registros afectados, consecuencias probables y medidas adoptadas o propuestas.
  • El Encargado cooperará con el Responsable en la determinación del impacto y en la respuesta al incidente, incluida, cuando proceda, la notificación a la AEPD o a los propios interesados.

9. Terminación y devolución de datos

Una vez finalizada la relación contractual, el Encargado:

  • Detendrá el tratamiento de los datos del Responsable.
  • A elección del Responsable, devolverá los datos en formato estructurado y legible mecánicamente o procederá a su supresión definitiva, incluidas las copias, en un plazo razonable (orientativo: 30 días) salvo obligación legal de conservación.
  • Eliminará los datos de las copias de seguridad activas conforme a los ciclos habituales de rotación de las mismas (típicamente 30 días).

Las obligaciones de confidencialidad y de cooperación en relación con eventuales reclamaciones derivadas de tratamientos anteriores sobrevivirán a la terminación.

10. Responsabilidad

Cada parte responderá de los daños que cause como consecuencia de un incumplimiento de sus obligaciones bajo el RGPD y este DPA, en los términos del artículo 82 RGPD. Sin perjuicio del régimen de limitación de responsabilidad establecido en los T&C generales, las obligaciones de cumplimiento normativo derivadas de la condición de Responsable o Encargado serán cumplidas por cada parte por imperativo legal.

11. Legislación aplicable y jurisdicción

Se aplica lo dispuesto en la cláusula 15 de los T&C generales.


Anexo I — Subencargados autorizados

A la fecha de actualización del presente DPA, los subencargados autorizados son los siguientes:

SubencargadoServicioPaís / RegiónMecanismo de transferencia
Vercel, Inc.Hosting de la aplicación.EE.UU. con replicación a UE.EU-US Data Privacy Framework + Cláusulas Contractuales Tipo.
SupabaseBase de datos PostgreSQL gestionada y autenticación.Reino Unido (Londres).Decisión de adecuación UK.
Stripe Payments Europe Ltd.Pasarela de pago y Stripe Connect Express.Irlanda; subprocesadores en EE.UU.EU-US Data Privacy Framework + Cláusulas Contractuales Tipo.
ResendEnvío de correos electrónicos transaccionales.UE (eu-west-1, Irlanda).Tratamiento dentro del EEE.
Google Ireland Ltd. (Google Workspace)Buzón de correo @muccavet.com.UE y, en su caso, EE.UU.EU-US Data Privacy Framework + Cláusulas Contractuales Tipo.
Sentry GmbHMonitorización de errores y observabilidad.Alemania (de.sentry.io).Tratamiento dentro del EEE; masking automático de datos sensibles.
BetterStackMonitorización de uptime.UE.Tratamiento dentro del EEE.
Squarespace, Inc.Registrador del dominio muccavet.com y DNS.EE.UU.EU-US Data Privacy Framework + Cláusulas Contractuales Tipo.

El listado actualizado se mantendrá disponible para consulta y se notificará al Responsable cuando se modifique.

Anexo II — Medidas de seguridad

MUCCA aplica, como mínimo, las siguientes medidas:

Confidencialidad

  • Comunicaciones cifradas mediante TLS 1.2 o superior entre el cliente, el Servicio y los subencargados.
  • Cifrado en reposo de la base de datos y de los volúmenes de copias de seguridad.
  • Contraseñas almacenadas con algoritmos de hash robustos (bcrypt o equivalente). Nunca almacenadas en claro.

Integridad y aislamiento

  • Aislamiento multi-tenant mediante Row Level Security en PostgreSQL: cada cuenta solo accede a sus propios datos.
  • Control de accesos basado en roles, con el principio de mínimo privilegio.
  • Validación de entradas y protección contra inyección SQL, XSS y otros ataques estándar OWASP.

Disponibilidad y resiliencia

  • Copias de seguridad automáticas con retención mínima conforme al plan contratado con Supabase.
  • Monitorización de uptime con alertas operativas.
  • Monitorización de errores y eventos de seguridad a través de Sentry.

Pruebas y revisiones

  • Revisión periódica de las medidas de seguridad y actualización en función del estado de la técnica.
  • Pruebas internas de regresión y, cuando se realicen, pruebas de penetración externas.

Personal

  • Acceso al entorno productivo restringido al personal estrictamente necesario, sujeto a obligaciones de confidencialidad.
  • Procedimiento documentado de gestión de incidentes y violaciones de seguridad.

Estas medidas se documentan y actualizan en el repositorio interno de MUCCA y se ponen a disposición del Responsable conforme a la cláusula 7.


Documento generado el 2026-05-24. Pendiente de revisión por asesor jurídico especializado en RGPD antes de su uso definitivo con vets que paguen.