Naar inhoud
StippaStippa
FuncionesPreciosPreguntas frecuentesContacto
Iniciar sesiónEmpezar

Contrato de encargo de tratamiento

Última actualización: 21 de junio de 2026

El presente contrato de encargo de tratamiento (en adelante: el "Contrato de Encargo") forma parte integrante de las condiciones generales de contratación entre De Rechter Software y el Cliente (en adelante: el "Contrato"). Regula las condiciones sobre el tratamiento de datos personales que De Rechter Software lleva a cabo por cuenta del Cliente en la prestación de Stippa, conforme al artículo 28 del Reglamento General de Protección de Datos (RGPD).

1. Partes y roles

  • Responsable del tratamiento: el Cliente, que determina los fines y los medios del tratamiento de los datos personales de sus clientes finales.
  • Encargado del tratamiento: De Rechter Software, empresario individual (eenmanszaak conforme al Derecho neerlandés) con domicilio en Molenwater 20, 4511 BN Breskens, Países Bajos, número de Registro Mercantil neerlandés (KvK) 98466402, número de IVA/NIF NL005332100B80, operador de Stippa, que trata los datos personales exclusivamente en nombre y por cuenta del Cliente.

2. Objeto, naturaleza, duración y finalidad del tratamiento

El Encargado del tratamiento trata los datos personales únicamente para la prestación del servicio Stippa: una plataforma para gestionar y reservar citas, gestionar clientes y empleados, enviar notificaciones y procesar pagos. El tratamiento se mantiene mientras esté vigente el Contrato y finaliza conforme a la sección 10.

3. Categorías de datos e interesados

El tratamiento afecta a las siguientes categorías de interesados y de datos personales:

  • Interesados: clientes finales del Cliente y empleados del Cliente.
  • Datos: nombre, dirección de correo electrónico, número de teléfono, datos de la cita (fecha, hora, servicio, empleado, notas) y datos relacionados con pagos (a través de Stripe; sin datos completos de la tarjeta).

El Encargado del tratamiento no trata categorías especiales de datos personales, salvo que el propio Cliente las introduzca; en tal caso, el Cliente es responsable de ello y garantiza la existencia de una base jurídica lícita.

4. Obligaciones del Encargado del tratamiento

  • El Encargado del tratamiento trata los datos personales únicamente siguiendo instrucciones documentadas del Cliente, incluido el Contrato, también en lo que respecta a las transferencias a un tercer país, salvo que una obligación legal disponga otra cosa; en tal caso, el Encargado del tratamiento informará previamente al Cliente, salvo que dicha normativa lo prohíba.
  • El Encargado del tratamiento informará de inmediato al Cliente si, en su opinión, una instrucción infringe el RGPD u otras normas de protección de datos aplicables.
  • El Encargado del tratamiento garantiza que las personas que tienen acceso a los datos personales se hayan comprometido a respetar la confidencialidad.
  • El Encargado del tratamiento adopta medidas técnicas y organizativas apropiadas (véase la sección 5).
  • El Encargado del tratamiento presta al Cliente una colaboración razonable para responder a las solicitudes de los interesados (acceso, rectificación, supresión, limitación, portabilidad y oposición) y para el cumplimiento de las obligaciones del Cliente conforme a los artículos 32 a 36 del RGPD (seguridad, notificación de violaciones de seguridad de los datos, evaluaciones de impacto relativas a la protección de datos y consulta previa a la autoridad de control).
  • El Encargado del tratamiento no utiliza los datos personales para fines propios y nunca los vende.

5. Medidas de seguridad

El Encargado del tratamiento adopta, como mínimo, las siguientes medidas:

  • Cifrado de los datos en tránsito (TLS 1.2 o superior) y en reposo;
  • Cifrado de los tokens sensibles con AES-256-GCM antes de su almacenamiento;
  • Control de acceso basado en roles con seguridad a nivel de fila (row-level security) en la base de datos;
  • Registro de las modificaciones (registros de auditoría) con fines de seguridad y trazabilidad;
  • Evaluación periódica de la eficacia de las medidas.

6. Subencargados del tratamiento

El Cliente otorga al Encargado del tratamiento una autorización general para recurrir a los siguientes subencargados del tratamiento:

  • Supabase Inc. para el alojamiento de la base de datos (alojado en la UE)
  • Vercel Inc. para el alojamiento de la aplicación web
  • Upstash, Inc. para la limitación de tasa y la prevención de abusos (tratamiento temporal de direcciones IP)
  • Cloudflare, Inc. para la protección anti-bots/abusos (Turnstile)
  • Sentry (Functional Software, Inc.) para la monitorización de errores y la estabilidad
  • Inngest, Inc. para la ejecución de tareas en segundo plano (p. ej. recordatorios)
  • Grafana Labs para la gestión de registros (Loki; solo si está habilitado)
  • Stripe Payments Europe Ltd. y Mollie B.V. para el procesamiento de pagos (Mollie alojado en la UE)
  • Resend, Inc. para el envío de correos transaccionales (confirmaciones, recordatorios, notificaciones)
  • Twilio Inc. / WhatsApp Business para servicios de mensajería (opcional)
  • PostHog para la analítica de producto

Las siguientes integraciones solo se activan cuando usted o un miembro del personal las conecta: Google LLC para la sincronización de agenda (véase la política de privacidad) y Moneybird B.V. para una integración contable.

El Encargado del tratamiento impone a cada subencargado, mediante contrato, las mismas obligaciones de protección de datos previstas en este Contrato de Encargo. El Encargado del tratamiento sigue siendo plenamente responsable frente al Cliente del cumplimiento de las obligaciones por parte del subencargado.

Ante una modificación o incorporación prevista de un subencargado, el Encargado del tratamiento informará al Cliente con una antelación mínima de 30 días. El Cliente podrá oponerse a la modificación dentro de dicho plazo por motivos razonables; en tal caso, las partes entablarán negociaciones. Si no se alcanza una solución, el Cliente podrá resolver el servicio afectado o el Contrato.

7. Transferencias fuera del EEE

En la medida en que se transfieran datos personales a un subencargado situado fuera del Espacio Económico Europeo, dicha transferencia se realizará únicamente sobre la base de una garantía adecuada conforme al capítulo V del RGPD: en las transferencias a Estados Unidos, principalmente sobre la base del Marco de Privacidad de Datos UE-EE. UU. (EU-US Data Privacy Framework; decisión de adecuación de la Comisión Europea de 10 de julio de 2023) para las entidades certificadas conforme al mismo, y como garantía adicional o subsidiaria sobre la base de las cláusulas contractuales tipo de la Comisión Europea (Standard Contractual Clauses, Decisión de Ejecución (UE) 2021/914).

8. Violaciones de seguridad de los datos

El Encargado del tratamiento informará al Cliente sin dilación indebida, y a más tardar en un plazo de 48 horas, una vez que tenga conocimiento de una violación de la seguridad de los datos personales. A tal efecto, el Encargado del tratamiento facilitará la información que el Cliente necesite razonablemente para cumplir su eventual deber de notificación a la autoridad de control competente y a los interesados.

9. Auditorías

El Encargado del tratamiento pondrá a disposición del Cliente, previa solicitud, la información necesaria para demostrar el cumplimiento de las obligaciones previstas en el artículo 28 del RGPD. El Cliente podrá, respetando un plazo de preaviso razonable y como máximo una vez al año, realizar (o encargar que se realice) una auditoría, ya sea por el propio Cliente o por un auditor independiente designado por el Cliente. Los costes razonables de dicha auditoría correrán a cargo del Cliente, salvo que de la auditoría se desprenda un incumplimiento sustancial por parte del Encargado del tratamiento.

10. Devolución y supresión

Tras la finalización del Contrato, el Encargado del tratamiento, a elección del Cliente, pondrá a disposición del Cliente todos los datos personales en forma de exportación de datos o bien los suprimirá, y suprimirá las copias existentes, salvo que una obligación legal de conservación (como la obligación de conservación fiscal de los datos de pago) disponga otra cosa. A falta de elección dentro del plazo de 30 días previsto en las condiciones generales de contratación, los datos se suprimirán.

11. Responsabilidad y legislación aplicable

A este Contrato de Encargo le resultan de aplicación las disposiciones sobre responsabilidad y la legislación aplicable de las condiciones generales de contratación. En caso de contradicción entre este Contrato de Encargo y las condiciones generales de contratación, prevalecerá este Contrato de Encargo en lo que respecta al tratamiento de datos personales.

12. Contacto

Para cualquier consulta sobre este Contrato de Encargo o para obtener un ejemplar firmado, puede ponerse en contacto a través de support@stippa.nl.

StippaStippa

Gestión de citas, sin complicaciones.

Para quién

  • Para peluquerías
  • Centros de estética
  • Fisioterapeutas
  • Coaches
  • Entrenadores personales

Funciones

  • Widget de reservas
  • Pagos online
  • Recordatorios
  • Prevención de no-shows
  • Agenda online
  • Gestión de clientes

Producto

  • Funciones
  • Precios
  • Preguntas frecuentes
  • Contacto

Legal

  • Política de privacidad
  • Condiciones de servicio
  • Acuerdo de tratamiento de datos

© 2026 Stippa. Todos los derechos reservados.

De Rechter Software · Molenwater 20, 4511 BN Breskens · KvK 98466402 · btw NL005332100B80

······