bknode Volver
Legal · bknode

DPA · Acuerdo de encargo de tratamiento

Acuerdo de procesamiento de datos conforme al artículo 28 del RGPD.

Última actualización: 1 de enero de 2026 · Versión 1.0

Introducción

El presente Acuerdo de Encargo de Tratamiento (en adelante, "DPA") complementa el contrato principal de servicios entre bknode Technologies S.L. y el Cliente, y regula el tratamiento de datos personales de conformidad con el artículo 28 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD).

Este DPA forma parte inseparable del contrato principal. En caso de contradicción entre ambos documentos en materia de protección de datos, prevalecerá el DPA.

1. Partes del acuerdo

  • Responsable del tratamiento: el Cliente, en su condición de empresa que determina los fines y medios del tratamiento de los datos personales de sus empleados, clientes, proveedores y contactos.
  • Encargado del tratamiento: bknode Technologies S.L., CIF B-88123456, Calle Gran Vía 28, 4.ª planta, 28013 Madrid (España). Contacto DPA: dpa@bknode.com.

2. Objeto y duración

bknode tratará datos personales únicamente para prestar el servicio ERP SaaS contratado según las instrucciones documentadas del Cliente. El presente DPA estará vigente mientras dure el contrato principal de servicios.

3. Naturaleza, finalidad y categorías de datos

En función de los módulos activos, bknode puede tratar las siguientes categorías de datos personales en nombre del Cliente:

  • Datos de empleados y usuarios internos: nombre, correo corporativo, rol, registros de actividad.
  • Datos de clientes del Cliente: nombre, empresa, correo, teléfono, historial de pedidos y facturas.
  • Datos de proveedores: datos de contacto de personas físicas o de representantes de empresas.
  • Datos contables y financieros: información de transacciones que pueda incluir datos de personas físicas.

bknode no trata categorías especiales de datos (art. 9 RGPD) salvo instrucción expresa y documentada del Cliente, quien será el único responsable de garantizar la base legal correspondiente.

4. Obligaciones de bknode como encargado

bknode se compromete a:

  • Tratar los datos personales únicamente conforme a las instrucciones documentadas del Cliente y a la legislación aplicable.
  • Garantizar que las personas autorizadas a tratar los datos han asumido obligaciones de confidencialidad, ya sean contractuales o legales.
  • Implementar y mantener las medidas técnicas y organizativas descritas en la Política de Seguridad.
  • Asistir al Cliente, en la medida de lo posible, en el cumplimiento de las solicitudes de ejercicio de derechos de los interesados (acceso, rectificación, supresión, limitación, portabilidad y oposición).
  • Asistir al Cliente en el cumplimiento de las obligaciones relativas a la seguridad, la notificación de violaciones, las evaluaciones de impacto (EIPD) y las consultas previas a la autoridad de control.
  • Notificar al Cliente sin dilación indebida, y en todo caso en un plazo máximo de 48 horas, cualquier violación de seguridad de los datos personales de la que tenga conocimiento.
  • Eliminar o devolver al Cliente todos los datos personales una vez finalizada la prestación del servicio, según la opción elegida por el Cliente, y suprimir las copias existentes salvo que el Derecho de la Unión o de los Estados miembros exija la conservación.
  • Poner a disposición del Cliente toda la información necesaria para demostrar el cumplimiento de las obligaciones del presente DPA, y facilitar y contribuir a la realización de auditorías.

5. Subencargados autorizados

El Cliente autoriza expresamente el uso de los siguientes subencargados del tratamiento. Todos operan dentro del EEE o bajo garantías equivalentes:

  • Infraestructura cloud (IaaS): proveedor de alojamiento europeo certificado ISO 27001.
  • Procesador de pagos: certificado PCI DSS nivel 1, con sede en la UE.
  • Herramienta de soporte al cliente: exclusivamente para la gestión de tickets de incidencias.
  • Servicio de correo transaccional: para el envío de notificaciones del sistema (alertas, facturas, onboarding).

bknode notificará al Cliente con un preaviso mínimo de 30 días cualquier incorporación o sustitución de subencargados, durante el cual el Cliente podrá oponerse justificadamente. La lista actualizada de subencargados está disponible en dpa@bknode.com.

bknode impondrá a sus subencargados obligaciones de protección de datos equivalentes a las del presente DPA, respondiendo ante el Cliente de su cumplimiento.

6. Transferencias internacionales de datos

Los datos personales se tratan y almacenan dentro del Espacio Económico Europeo. En el supuesto excepcional de que algún subencargado opere o acceda a datos desde fuera del EEE, bknode garantiza que dichas transferencias se amparan en alguno de los mecanismos previstos en el Capítulo V del RGPD: decisión de adecuación de la Comisión Europea o Cláusulas Contractuales Tipo (CCT) en su versión vigente aprobada por la Comisión.

7. Auditorías y verificación del cumplimiento

El Cliente podrá solicitar una auditoría anual del cumplimiento del presente DPA, con un preaviso mínimo de 30 días naturales y previa firma de acuerdo de confidencialidad. Los costes de la auditoría corren a cargo del Cliente salvo que se detecten incumplimientos materiales imputables a bknode.

bknode podrá satisfacer esta obligación aportando informes de auditoría independiente vigentes (ISO 27001, SOC 2 Tipo II o equivalentes), en cuyo caso no será necesaria una auditoría in situ adicional salvo causa justificada.

8. Ley aplicable

El presente DPA se rige por el Reglamento (UE) 2016/679 (RGPD), la Ley Orgánica 3/2018 (LOPDGDD) y la legislación española en materia de protección de datos. Para cualquier controversia derivada de su aplicación, las partes se someten a los Juzgados y Tribunales de Madrid.