Última actualización: 2026-05-24
El presente Acuerdo de Encargado de Tratamiento (en adelante, el "DPA" o el "Acuerdo") regula la relación entre:
- EL RESPONSABLE DEL TRATAMIENTO — el profesional veterinario u otra persona física o jurídica titular de una cuenta en MUCCA que determina los fines y medios del tratamiento de los datos personales de sus propios clientes y pacientes a través del Servicio (en adelante, el "Responsable"); y
- EL ENCARGADO DEL TRATAMIENTO — Ricardo Santiago Gómez Bugeda, NIF 26749899W, con domicilio profesional en Calle Proyecte nº 10, 46118 Serra (Valencia), España, en condición de titular de la plataforma MUCCA (en adelante, "MUCCA" o el "Encargado").
Este DPA se celebra al amparo del artículo 28 del Reglamento (UE) 2016/679 (RGPD), de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) y demás normativa aplicable. Forma parte integrante del contrato principal entre el Responsable y MUCCA (los Términos y Condiciones y, en su caso, las condiciones específicas aplicables al perfil del Responsable). En caso de contradicción entre este DPA y otros documentos en relación con la protección de datos, prevalecerá lo dispuesto en este DPA.
La aceptación de los Términos y Condiciones por el Responsable implica la aceptación expresa de este DPA.
1. Objeto del Acuerdo
El presente DPA regula el tratamiento por parte del Encargado, en nombre y por cuenta del Responsable, de los datos personales que el Responsable introduzca o gestione en el Servicio respecto de sus propios clientes (ganaderos, particulares con animales) y pacientes (animales y la documentación clínica y administrativa asociada).
2. Detalles del tratamiento
| Aspecto | Descripción |
|---|---|
| Objeto | Prestación del Servicio MUCCA, incluyendo almacenamiento, procesamiento, visualización, exportación y eliminación de los datos personales del Responsable conforme a sus instrucciones. |
| Duración | Mientras esté vigente la relación contractual entre el Responsable y MUCCA. Las obligaciones que por su naturaleza deban subsistir, sobrevivirán a la terminación. |
| Naturaleza | Operaciones automatizadas: almacenamiento, consulta, indexación, búsqueda, edición, exportación, eliminación. |
| Finalidad | Prestar al Responsable las funcionalidades del Servicio descritas en el contrato principal. |
| Tipos de datos personales | Datos identificativos y de contacto del cliente del Responsable (nombre, NIF, dirección, teléfono, email); datos profesionales (REGA, número de colegiado del titular si aplica); datos clínicos del animal (especie, raza, edad, identificación, historial veterinario, tratamientos, prescripciones, libros REGA); datos económicos (importes de servicios facturados por el Responsable, métodos de cobro). |
| Categorías de interesados | Clientes del Responsable (titulares de explotación o particulares con animales) y, indirectamente, animales bajo su titularidad (los datos del animal pueden estar asociados a una persona física titular). |
| Categorías especiales | El Servicio no está diseñado para almacenar categorías especiales del artículo 9 RGPD del Responsable; los datos clínicos se refieren a animales, no a personas. Excepcionalmente, podrían existir notas profesionales con datos de salud humana (p. ej., contexto de zoonosis); el Responsable se compromete a minimizar tales casos y, en su caso, a aplicar las garantías reforzadas que la normativa exige. |
3. Obligaciones del Encargado
El Encargado se compromete a:
- Tratar los datos personales únicamente siguiendo las instrucciones documentadas del Responsable, salvo que esté obligado a otra cosa por el Derecho de la Unión o de un Estado miembro; en tal caso, informará previamente al Responsable, salvo prohibición legal por motivos de interés público.
- Garantizar la confidencialidad y obligar al mismo a su personal y subcontratistas, mediante acuerdos contractuales adecuados.
- Adoptar las medidas técnicas y organizativas apropiadas descritas en el Anexo II — Medidas de seguridad.
- No subcontratar ninguna parte del tratamiento sin la autorización previa del Responsable. A estos efectos, el Responsable autoriza expresamente, al aceptar este DPA, la subcontratación con los proveedores enumerados en el Anexo I — Subencargados, conforme al artículo 28.2 RGPD. MUCCA podrá incorporar nuevos subencargados o sustituir los actuales, comunicándolo al Responsable con un preaviso mínimo de 30 días, durante los cuales el Responsable podrá oponerse fundadamente; si la oposición es razonable y MUCCA no puede sustituir al nuevo subencargado, el Responsable podrá resolver el contrato sin penalización.
- Asistir al Responsable en la atención de los derechos de los interesados (artículos 12 a 22 RGPD), mediante las funcionalidades del Servicio o, cuando estas no basten, atendiendo razonablemente las solicitudes específicas del Responsable.
- Asistir al Responsable en el cumplimiento de las obligaciones de los artículos 32 a 36 RGPD, incluyendo la notificación de violaciones de seguridad y, en su caso, evaluaciones de impacto.
- Notificar al Responsable, sin dilación indebida y, en cualquier caso, dentro de las 72 horas siguientes a tener conocimiento, cualquier violación de la seguridad de los datos personales que afecten al Responsable, con la información mínima exigida por el artículo 33.3 RGPD. La notificación se realizará al correo electrónico asociado a la cuenta del Responsable.
- A elección del Responsable, devolver o suprimir todos los datos personales una vez finalice la prestación de los servicios, así como suprimir las copias existentes, salvo que se requiera la conservación por imperativo legal.
- Poner a disposición del Responsable la información necesaria para demostrar el cumplimiento de las obligaciones del artículo 28 RGPD, y permitir y contribuir a las auditorías, incluidas las inspecciones, realizadas por el Responsable o un auditor autorizado por él, en los términos del apartado 7 de este DPA.
4. Obligaciones del Responsable
El Responsable se compromete a:
- Disponer de base legítima para los tratamientos que realiza a través del Servicio y, cuando se requiera, recabar el consentimiento o cumplir cualquier otra base jurídica aplicable.
- Informar a sus propios clientes sobre el tratamiento de datos, incluyendo la utilización de MUCCA como encargado del tratamiento, conforme a los artículos 13 y 14 RGPD.
- Atender los derechos de los interesados que sus clientes le dirijan, sin perjuicio de la asistencia que MUCCA pueda prestar.
- Garantizar que las categorías especiales de datos introducidas en el Servicio se ajustan a una base jurídica válida del artículo 9 RGPD.
- No introducir datos de personas distintas a sus propios clientes o de terceros respecto de los que no haya legitimación para tratarlos.
- Mantener la confidencialidad de las credenciales de acceso al Servicio y de los datos exportados.
5. Subencargados
El Responsable autoriza, mediante la aceptación del presente DPA, la subcontratación con los proveedores listados en el Anexo I. Cada subencargado está vinculado contractualmente con MUCCA mediante un contrato que recoge las mismas obligaciones que las del presente DPA, en cumplimiento del artículo 28.4 RGPD.
MUCCA informará al Responsable de cualquier alta o sustitución de subencargados con un preaviso mínimo de 30 días naturales, dando opción al Responsable a oponerse fundadamente. Si la oposición fuera razonable y MUCCA no pudiera mantener al subencargado anterior, el Responsable podrá resolver el contrato sin penalización, conforme a la cláusula 3.4.
6. Transferencias internacionales
En los términos del Anexo I, algunos de los subencargados pueden suponer transferencias internacionales fuera del Espacio Económico Europeo. Para cada una, MUCCA garantiza la adopción de uno o varios de los mecanismos de transferencia válidos del Capítulo V RGPD:
- Decisiones de adecuación de la Comisión Europea (por ejemplo, para el Reino Unido).
- Marco de Privacidad de Datos UE-EE.UU., cuando el subencargado esté certificado.
- Cláusulas Contractuales Tipo aprobadas por la Comisión Europea.
El Responsable puede solicitar copia de las garantías aplicadas escribiendo a legal@muccavet.com.
7. Auditorías
MUCCA pondrá a disposición del Responsable, ante solicitud razonable y con preaviso de 30 días naturales, la documentación necesaria para evidenciar el cumplimiento de este DPA. Las auditorías presenciales se limitarán a una al año, salvo incidente grave, y serán a costa del Responsable.
Las auditorías deberán:
- Acordarse con antelación razonable y respetar la confidencialidad y la operativa de MUCCA y de los demás clientes del Encargado.
- Realizarse en horario laboral.
- Ir acompañadas, cuando MUCCA lo requiera, de la firma de los acuerdos de confidencialidad necesarios.
El Encargado podrá satisfacer su obligación de auditoría aportando informes de auditoría externos (ISO 27001, SOC 2, etc.) cuando estén disponibles.
8. Violaciones de seguridad
El Encargado mantiene un procedimiento documentado para detectar, registrar y notificar incidentes de seguridad. En caso de violación que afecte a los datos del Responsable:
- Se notificará por correo electrónico al Responsable sin dilación indebida y, en todo caso, dentro de las 72 horas desde el conocimiento.
- La notificación incluirá la información razonablemente disponible: descripción del incidente, categorías y volumen aproximado de interesados y registros afectados, consecuencias probables y medidas adoptadas o propuestas.
- El Encargado cooperará con el Responsable en la determinación del impacto y en la respuesta al incidente, incluida, cuando proceda, la notificación a la AEPD o a los propios interesados.
9. Terminación y devolución de datos
Una vez finalizada la relación contractual, el Encargado:
- Detendrá el tratamiento de los datos del Responsable.
- A elección del Responsable, devolverá los datos en formato estructurado y legible mecánicamente o procederá a su supresión definitiva, incluidas las copias, en un plazo razonable (orientativo: 30 días) salvo obligación legal de conservación.
- Eliminará los datos de las copias de seguridad activas conforme a los ciclos habituales de rotación de las mismas (típicamente 30 días).
Las obligaciones de confidencialidad y de cooperación en relación con eventuales reclamaciones derivadas de tratamientos anteriores sobrevivirán a la terminación.
10. Responsabilidad
Cada parte responderá de los daños que cause como consecuencia de un incumplimiento de sus obligaciones bajo el RGPD y este DPA, en los términos del artículo 82 RGPD. Sin perjuicio del régimen de limitación de responsabilidad establecido en los T&C generales, las obligaciones de cumplimiento normativo derivadas de la condición de Responsable o Encargado serán cumplidas por cada parte por imperativo legal.
11. Legislación aplicable y jurisdicción
Se aplica lo dispuesto en la cláusula 15 de los T&C generales.
Anexo I — Subencargados autorizados
A la fecha de actualización del presente DPA, los subencargados autorizados son los siguientes:
| Subencargado | Servicio | País / Región | Mecanismo de transferencia |
|---|---|---|---|
| Vercel, Inc. | Hosting de la aplicación. | EE.UU. con replicación a UE. | EU-US Data Privacy Framework + Cláusulas Contractuales Tipo. |
| Supabase | Base de datos PostgreSQL gestionada y autenticación. | Reino Unido (Londres). | Decisión de adecuación UK. |
| Stripe Payments Europe Ltd. | Pasarela de pago y Stripe Connect Express. | Irlanda; subprocesadores en EE.UU. | EU-US Data Privacy Framework + Cláusulas Contractuales Tipo. |
| Resend | Envío de correos electrónicos transaccionales. | UE (eu-west-1, Irlanda). | Tratamiento dentro del EEE. |
| Google Ireland Ltd. (Google Workspace) | Buzón de correo @muccavet.com. | UE y, en su caso, EE.UU. | EU-US Data Privacy Framework + Cláusulas Contractuales Tipo. |
| Sentry GmbH | Monitorización de errores y observabilidad. | Alemania (de.sentry.io). | Tratamiento dentro del EEE; masking automático de datos sensibles. |
| BetterStack | Monitorización de uptime. | UE. | Tratamiento dentro del EEE. |
| Squarespace, Inc. | Registrador del dominio muccavet.com y DNS. | EE.UU. | EU-US Data Privacy Framework + Cláusulas Contractuales Tipo. |
El listado actualizado se mantendrá disponible para consulta y se notificará al Responsable cuando se modifique.
Anexo II — Medidas de seguridad
MUCCA aplica, como mínimo, las siguientes medidas:
Confidencialidad
- Comunicaciones cifradas mediante TLS 1.2 o superior entre el cliente, el Servicio y los subencargados.
- Cifrado en reposo de la base de datos y de los volúmenes de copias de seguridad.
- Contraseñas almacenadas con algoritmos de hash robustos (bcrypt o equivalente). Nunca almacenadas en claro.
Integridad y aislamiento
- Aislamiento multi-tenant mediante Row Level Security en PostgreSQL: cada cuenta solo accede a sus propios datos.
- Control de accesos basado en roles, con el principio de mínimo privilegio.
- Validación de entradas y protección contra inyección SQL, XSS y otros ataques estándar OWASP.
Disponibilidad y resiliencia
- Copias de seguridad automáticas con retención mínima conforme al plan contratado con Supabase.
- Monitorización de uptime con alertas operativas.
- Monitorización de errores y eventos de seguridad a través de Sentry.
Pruebas y revisiones
- Revisión periódica de las medidas de seguridad y actualización en función del estado de la técnica.
- Pruebas internas de regresión y, cuando se realicen, pruebas de penetración externas.
Personal
- Acceso al entorno productivo restringido al personal estrictamente necesario, sujeto a obligaciones de confidencialidad.
- Procedimiento documentado de gestión de incidentes y violaciones de seguridad.
Estas medidas se documentan y actualizan en el repositorio interno de MUCCA y se ponen a disposición del Responsable conforme a la cláusula 7.
Documento generado el 2026-05-24. Pendiente de revisión por asesor jurídico especializado en RGPD antes de su uso definitivo con vets que paguen.