Contrato de Encargo del Tratamiento (DPA)

Conforme al art. 28 Reglamento (UE) 2016/679 (RGPD) · Versión 1.0 · Vigente desde 2026-06-02

Partes

Responsable del tratamiento (en adelante, el "Cliente"): la persona física o jurídica titular de la cuenta de EcomVerify que contrata el Servicio.

Encargado del tratamiento (en adelante, "EcomVerify"):

• Verify Solutions, S.L.
• CIF B27661099
• Carrer Riera Garrap, 37, 17007 Girona, España
• DPO: dpo@ecomverify.email

1. Objeto

Este Contrato regula las condiciones bajo las que EcomVerify tratará datos personales por cuenta del Cliente en el marco de la prestación del Servicio contratado.

2. Duración

La duración coincide con la vigencia del contrato principal de prestación del Servicio. Finalizado este, se aplicará lo previsto en la cláusula 11.

3. Naturaleza y finalidad del tratamiento

EcomVerify tratará datos personales con las siguientes finalidades:

• Gestión de la cuenta del Cliente y autenticación de usuarios.
• Integración con Amazon Selling Partner API (SP-API) y otras plataformas autorizadas por el Cliente.
• Cálculo fiscal, emisión de facturas y contabilización de operaciones.
• Generación de informes y cuadros de mando para el Cliente.
• Soporte y atención al Cliente.
• Obligaciones legales aplicables.

4. Tipo de datos personales tratados

• Datos identificativos y de contacto de compradores finales (nombre, dirección de envío y facturación, email cuando lo facilita Amazon).
• Datos transaccionales (pedidos, importes, SKUs, ASINs).
• Datos fiscales (NIF cuando aplica, país, régimen).
• Metadatos técnicos (logs, IP, eventos).

No se tratan datos de categorías especiales (art. 9 RGPD) ni datos de pago (tarjetas).

5. Categorías de interesados

• Compradores finales del Cliente en Amazon u otros marketplaces.
• Usuarios autorizados por el Cliente para acceder al Servicio.
• Proveedores y contactos comerciales del Cliente.

6. Obligaciones de EcomVerify como Encargado

1. Tratar los datos únicamente siguiendo instrucciones documentadas del Cliente y para las finalidades previstas.
2. Garantizar que el personal autorizado se ha comprometido a confidencialidad.
3. Adoptar las medidas técnicas y organizativas del art. 32 RGPD (descritas en Anexo I).
4. No subcontratar sin autorización previa escrita (ver cláusula 7).
5. Asistir al Cliente en el ejercicio de derechos de los interesados.
6. Asistir al Cliente en el cumplimiento de arts. 32-36 RGPD.
7. Suprimir o devolver los datos al finalizar la prestación (cláusula 11).
8. Poner a disposición del Cliente la información necesaria para demostrar cumplimiento, permitiendo auditorías.
9. Notificar al Cliente cualquier violación de seguridad en ≤ 72 horas desde su conocimiento.

7. Sub-encargados

El Cliente autoriza con carácter general a EcomVerify a recurrir a los sub-encargados listados públicamente en ecomverify.com/subencargados.php. EcomVerify notificará al Cliente cualquier cambio con 30 días de antelación para que pueda oponerse. Todos los sub-encargados están vinculados por contrato con obligaciones equivalentes a las de este DPA.

8. Transferencias internacionales

Los datos se tratan principalmente en la Unión Europea. Cualquier transferencia fuera del EEE se realizará amparada en garantías adecuadas (Cláusulas Contractuales Tipo de la Comisión Europea o mecanismo equivalente).

9. Amazon Selling Partner API — condiciones específicas

Cuando el tratamiento derive de la integración Amazon SP-API, EcomVerify cumple adicionalmente:

• Las Amazon Selling Partner API Data Protection Policies.
• Las Acceptable Use Policies y Website Guidelines.
• Notificación de incidentes a Amazon en ≤ 24 horas.
• Retención de PII ≤ 30 días salvo obligación fiscal/legal.
• Acceso por roles (RBAC), MFA y cifrado AES-256 en reposo / TLS 1.2+ en tránsito.

10. Derechos de los interesados

EcomVerify asistirá al Cliente para responder a solicitudes de acceso, rectificación, supresión, oposición, limitación y portabilidad. Cualquier interesado puede adicionalmente utilizar ecomverify.com/data-deletion.php.

11. Devolución y supresión al finalizar

Al finalizar el contrato, EcomVerify, a elección del Cliente:

• Devolverá los datos en formato estructurado (CSV/JSON) en un plazo máximo de 30 días; o
• Procederá a su supresión segura.

Los datos sujetos a obligaciones legales de conservación (fiscal, contable) quedarán bloqueados hasta el vencimiento del plazo legal, momento en que se suprimirán.

12. Responsabilidad

Cada parte responderá de los daños causados por los incumplimientos de sus respectivas obligaciones conforme al art. 82 RGPD.

13. Legislación y jurisdicción

Este DPA se rige por la legislación española y europea. Las partes se someten a los juzgados y tribunales de Girona, España.

---

Anexo I — Medidas técnicas y organizativas (art. 32 RGPD)

A. Confidencialidad

• Control de acceso físico a instalaciones.
• Control de acceso lógico por roles (RBAC) y principio de mínimo privilegio.
• Autenticación multifactor (MFA) para personal con acceso a producción.
• Segregación de entornos (producción, preproducción, desarrollo).

B. Integridad

• Cifrado en tránsito: TLS 1.2+.
• Cifrado en reposo: AES-256 para bases de datos y ficheros sensibles.
• Gestión de credenciales y secretos fuera del código fuente; rotación periódica.
• Registros de cambios y auditoría de integridad.

C. Disponibilidad

• Copias de seguridad periódicas, cifradas y con retención definida.
• Plan de continuidad y recuperación ante desastres.
• Monitorización 24/7 y alertas automáticas.

D. Resiliencia

• Redundancia de servidores y balanceo.
• Protección frente a DDoS y WAF en frontera.
• Parcheo periódico y gestión de vulnerabilidades.

E. Gobernanza

• Registro de actividades de tratamiento (art. 30 RGPD).
• Procedimiento de gestión de incidentes (reporte ≤ 72 h a Cliente, ≤ 24 h a Amazon cuando aplique).
• Formación periódica del personal.
• Revisión anual de accesos y recertificación.

© 2026 Verify Solutions, S.L. · CIF B27661099