Contrato de Encargo del Tratamiento (DPA)
Última actualización: 30 de mayo de 2026 · Versión 2.0
De conformidad con el artículo 28 del Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD), este documento regula la relación entre Pawky (en adelante, el "Encargado del Tratamiento") y el negocio cliente que utiliza la plataforma (en adelante, el "Responsable del Tratamiento").
1. Identificación de las partes
Responsable del Tratamiento: el titular del negocio que contrata el servicio Pawky para gestionar su peluquería canina (en adelante, "el Cliente"). Sus datos identificativos figuran en sus ajustes de cuenta dentro de la plataforma.
Encargado del Tratamiento:
| Titular | Ignacio Revuelta Bracero (en adelante, "Pawky") |
| NIF | 48121408A |
| Domicilio | Calle de Cadarso 16, Local, 28008 Madrid (España) |
| Email RGPD | hola@pawky.io |
| Email soporte | soporte@pawky.io |
2. Objeto del tratamiento
Pawky tratará datos personales por cuenta del Cliente exclusivamente para prestar los servicios contratados: gestión de citas, ficha de clientes y mascotas, facturación, reservas online, comunicaciones transaccionales, y demás funcionalidades descritas en la documentación del producto.
3. Duración
El presente contrato estará vigente durante toda la duración del servicio Pawky contratado por el Cliente y se extenderá hasta la devolución o supresión de los datos conforme a la cláusula 9.
4. Naturaleza y finalidad del tratamiento
Pawky realizará las operaciones de tratamiento necesarias para la prestación del servicio: almacenamiento, organización, estructuración, consulta, modificación, copia, comunicación a destinatarios autorizados, conservación, supresión.
5. Tipo de datos personales y categorías de interesados
Tipos de datos tratados:
- Datos identificativos y de contacto (nombre, email, teléfono, dirección)
- Datos de mascotas (nombre, raza, tamaño, chip, alergias)
- Datos transaccionales (citas, servicios, importes)
- Datos de facturación
- Datos técnicos de audit trail (IP, user-agent del consentimiento)
Categorías de interesados: clientes finales del negocio (personas físicas que reservan servicios), empleados del negocio (cuando se gestionen mediante la plataforma).
6. Obligaciones del Encargado (Pawky)
Pawky se obliga a:
- Tratar los datos personales únicamente siguiendo instrucciones documentadas del Cliente, incluso en transferencias internacionales (no se realizan transferencias fuera del EEE salvo a los subencargados de la cláusula 8).
- Garantizar que las personas autorizadas para tratar los datos se han comprometido a respetar la confidencialidad.
- Tomar todas las medidas técnicas y organizativas necesarias para garantizar un nivel de seguridad adecuado al riesgo (Art. 32 RGPD): cifrado en tránsito (TLS 1.2+), cifrado en reposo de datos sensibles, control de acceso por roles, registro de auditoría, copias de seguridad cifradas con retención mínima 14 días, autenticación reforzada para operaciones críticas.
- Asistir al Cliente en el cumplimiento de su obligación de responder a las solicitudes de ejercicio de derechos de los interesados (Art. 12-22 RGPD), proporcionando para ello herramientas dentro de la plataforma (incluyendo el endpoint self-service /mis-datos disponible para los clientes finales del negocio).
- Notificar al Cliente sin dilación indebida y, a más tardar dentro de las 48 horas siguientes al momento en que tenga conocimiento de cualquier violación de la seguridad que pueda afectar a los datos tratados (Art. 33 RGPD).
- Asistir al Cliente para la realización de evaluaciones de impacto en la protección de datos (Art. 35 RGPD) cuando proceda.
- A elección del Cliente, suprimir o devolver todos los datos personales una vez finalice la prestación de los servicios, y suprimir las copias existentes (cláusula 9).
- Poner a disposición del Cliente toda la información necesaria para demostrar el cumplimiento de las obligaciones, así como permitir auditorías razonables (Art. 28.3.h RGPD).
7. Obligaciones del Responsable (Cliente)
El Cliente se obliga a:
- Tratar los datos personales conforme a la normativa de protección de datos aplicable y a las finalidades que él mismo determine.
- Recabar el consentimiento informado de los interesados cuando proceda, y mantener actualizada la política de privacidad publicada en sus páginas públicas.
- Atender las solicitudes de los interesados (Pawky proporciona herramientas pero el Responsable mantiene la obligación última de respuesta).
- Realizar las notificaciones a la AEPD y a los interesados en caso de violaciones de seguridad cuando ello sea exigible (Art. 33-34 RGPD), con asistencia de Pawky.
- Adoptar las medidas técnicas y organizativas internas necesarias en su propio entorno (control de acceso a sus credenciales Pawky, gestión de empleados con acceso a la plataforma, etc).
8. Subencargados
El Cliente autoriza a Pawky a contratar los siguientes subencargados, todos ellos con DPA firmado y garantías equivalentes:
- Hetzner Online GmbH (Alemania, UE) — hosting de servidores y base de datos.
- Cloudflare, Inc. (UE/EE.UU. bajo Cláusulas Contractuales Tipo) — CDN, captcha anti-spam (Turnstile), protección DDoS.
- Stripe Payments Europe (Irlanda, UE) — procesamiento de pagos online (cuando el Cliente lo active).
- Redsys Servicios de Procesamiento, S.L. (España) — procesamiento de pagos con tarjeta.
- PayPal (Europe) S.à r.l. (Luxemburgo, UE) — procesamiento de pagos PayPal (cuando el Cliente lo active).
- Meta Platforms Ireland Ltd. (Irlanda, UE) — WhatsApp Business Cloud API (cuando el Cliente lo active).
- Proveedor de email transaccional — envío de notificaciones a clientes (proveedor SMTP configurado por Cliente o por Pawky).
- Anthropic PBC (EE.UU. bajo SCC + medidas suplementarias) — funciones de IA para recomendaciones (cuando el Cliente lo active).
Pawky informará al Cliente de cualquier cambio previsto en la incorporación o sustitución de subencargados, otorgando al Cliente la oportunidad de oponerse en un plazo razonable.
9. Devolución o supresión de datos al finalizar
Una vez finalizada la prestación del servicio, Pawky, a elección del Cliente, devolverá los datos en un formato estructurado y de uso común (JSON o CSV) o procederá a su supresión completa de sus sistemas, dentro de los 30 días naturales siguientes a la solicitud. Pawky podrá conservar copias en sus sistemas de backup durante un máximo de 30 días adicionales antes de su supresión definitiva, periodo durante el cual no se realizará ningún tratamiento adicional.
10. Confidencialidad
Tanto Pawky como sus empleados, colaboradores y subencargados se comprometen a guardar secreto profesional respecto de los datos tratados. Esta obligación subsiste incluso después de finalizar el contrato.
11. Responsabilidad
El régimen de responsabilidad entre las partes se rige por el Art. 82 RGPD y por los términos generales del contrato de servicios firmado.
12. Aceptación
La aceptación de los Términos del Servicio de Pawky por parte del Cliente implica la aceptación de este DPA en su versión vigente publicada. Cualquier modificación se notificará con un preaviso mínimo de 30 días, permitiendo al Cliente oponerse o resolver el contrato sin penalización si las modificaciones afectan sustantivamente a sus obligaciones.
Este documento puede descargarse y firmarse físicamente bajo petición a través del email de contacto. La aceptación electrónica mediante el uso continuado del servicio equivale a la firma manuscrita conforme al Art. 1262 del Código Civil y la Ley 6/2020 reguladora de los servicios de confianza.