Traducción de cortesía sin valor jurídico. Solo la versión alemana es vinculante. /avv
Contrato de encargo del tratamiento (DPA)
Conforme al art. 28 del RGPD
Última actualización: marzo de 2026
Este es el contrato de encargo del tratamiento (DPA) completo conforme al art. 28 del RGPD entre WiderrufButton (encargado del tratamiento) y el operador de la tienda (responsable del tratamiento). Puede consultarlo aquí en su totalidad y guardarlo o imprimirlo en PDF en cualquier momento. Con su registro, el DPA se considera celebrado entre usted y WiderrufButton.
1. Objeto del tratamiento
Como encargado del tratamiento, WiderrufButton trata, por cuenta del operador de la tienda (responsable del tratamiento), los datos personales transmitidos por los clientes finales (consumidores) en el marco de una declaración de desistimiento.
Finalidad del tratamiento: Recepción, conservación y reenvío de las declaraciones de desistimiento conforme al § 356a del Código Civil alemán (BGB), así como el envío de un acuse de recibo por correo electrónico al consumidor.
2. Categorías de datos personales
En el marco del encargo del tratamiento se tratan las siguientes categorías de datos personales:
| Categoría de datos | Obligatorio | Finalidad |
|---|---|---|
| Nombre del consumidor | Sí | Identificación de la persona que desiste |
| Datos de contacto (correo electrónico/teléfono) | Sí | Acuse de recibo, contacto posterior |
| Referencia del pedido | No | Asignación al contrato |
| Mensaje de texto libre | No | Información complementaria |
| Dirección IP (con hash) | – | Protección frente a abusos (limitación de tasa) |
3. Interesados
clientes finales (consumidores) del operador de la tienda que presentan una declaración de desistimiento a través del widget de WiderrufButton.
4. Duración del tratamiento
El encargo del tratamiento comienza con la celebración del contrato y finaliza con la terminación de la relación de uso (cancelación de la suscripción a WiderrufButton).
Una vez finalizado el contrato, los datos de desistimiento se conservan conforme a las obligaciones legales de conservación y se suprimen posteriormente, salvo que el responsable del tratamiento solicite una supresión anterior.
5. Medidas técnicas y organizativas (TOM)
El encargado del tratamiento aplica las siguientes medidas para proteger los datos personales:
Cifrado
Cifrado TLS/SSL de todas las transmisiones de datos. Cifrado de la base de datos en reposo. Las direcciones IP se someten a hash (SHA-256) antes de su almacenamiento.
Control de acceso
Autenticación mediante enlace mágico (sin contraseña). Separación de funciones: los operadores de la tienda solo ven sus propios datos. Acceso administrativo reservado al personal autorizado.
Alojamiento en Alemania
Todos los datos se tratan y almacenan en servidores de Hetzner Online GmbH en centros de datos alemanes. El alojamiento no implica ninguna transferencia a terceros países.
Copia de seguridad de los datos
Copias de seguridad automatizadas diarias de la base de datos (pg_dump). Las copias se almacenan cifradas en una Storage Box de Hetzner independiente.
6. Subencargados del tratamiento
Para la ejecución del contrato se recurre a los siguientes subencargados del tratamiento:
| Empresa | Finalidad | Ubicación |
|---|---|---|
| Hetzner Online GmbH | Alojamiento de servidores, base de datos | Alemania |
| IONOS SE | Envío de correos electrónicos (acuses de recibo transaccionales) | Alemania |
El responsable del tratamiento será informado con antelación de cualquier cambio en los subencargados del tratamiento y tendrá la posibilidad de oponerse.
7. Obligaciones del encargado del tratamiento
- Tratamiento de los datos exclusivamente conforme a las instrucciones documentadas del responsable del tratamiento.
- Garantía de que las personas autorizadas para el tratamiento de los datos se han comprometido a la confidencialidad.
- Aplicación de todas las medidas técnicas y organizativas exigidas conforme al art. 32 del RGPD.
- Asistencia al responsable del tratamiento en el cumplimiento de los derechos de los interesados (arts. 15 a 22 del RGPD).
- Asistencia en relación con las obligaciones de notificación (arts. 33 y 34 del RGPD).
- Supresión o devolución de todos los datos tras la finalización del tratamiento.
- Posibilidad de que el responsable del tratamiento realice auditorías e inspecciones.
8. Derechos del responsable del tratamiento
- Derecho de información sobre los datos tratados.
- Derecho a verificar las medidas técnicas y organizativas.
- Derecho a impartir instrucciones al encargado del tratamiento.
- Derecho a la supresión o devolución de los datos a la finalización del contrato.
- Derecho de oposición ante cambios de los subencargados del tratamiento.
9. DPA completo
Este DPA está disponible aquí en su totalidad. Guárdelo en PDF o imprímalo para sus archivos. Con el registro se considera celebrado.
Este contrato de encargo del tratamiento conforme al art. 28 del RGPD está disponible aquí en su totalidad y puede guardarse en PDF o imprimirse. Con el registro se considera celebrado entre las partes. Última actualización: junio de 2026.