CONTRATO DE ENCARGO DEL TRATAMIENTO (DPA)

Vezpa - Property Management System

Contrato conforme al art. 28 del Reglamento UE 2016/679 (RGPD)

Version 1.0 - En vigor desde el 19 de abril de 2026

📌 Prelación jurídica: este documento es una traducción de cortesía del original italiano. En caso de discrepancia entre esta traducción y la versión italiana, prevalecerá la versión italiana como referencia jurídicamente vinculante. Original italiano disponible aquí: https://vezpa.it/dpa/.
Objeto de este documento: el presente Contrato de encargo del tratamiento (DPA) regula el tratamiento de los datos personales de los huespedes de los establecimientos de alojamiento que utilizan la plataforma Vezpa. El establecimiento (Responsable del tratamiento) encomienda a Vezpa (Encargado del tratamiento) el tratamiento de tales datos. El DPA forma parte integrante de los Terminos del Servicio y se acepta al mismo tiempo que el registro del establecimiento.
A quien se aplica: este DPA se aplica cada vez que el establecimiento utiliza Vezpa para tratar datos personales de sujetos distintos del propio establecimiento (tipicamente: huespedes, sus acompanantes, contactos de reserva). No se aplica al tratamiento de los datos de los usuarios profesionales del establecimiento, para los que Vezpa actua como Responsable autonomo (vease Politica de Privacidad).

1. Partes

Responsable del tratamiento ("Responsable") El establecimiento de alojamiento que suscribe la suscripcion de Vezpa, segun lo identificado en su cuenta (razon social, NIF, domicilio, representante legal).
Encargado del tratamiento ("Encargado" / "Vezpa") Vezpa di Paolo Vezzola, P.IVA 04449070988, domicilio en via San Zeno 67, 25015 Desenzano del Garda (BS), Italia. PEC: [email protected] - Email: [email protected]

2. Objeto y duracion (art. 28.3 RGPD)

El Responsable encarga al Encargado tratar datos personales por su cuenta mediante la plataforma Vezpa. El tratamiento tiene la duracion del contrato de suscripcion entre las partes y cesa con su resolucion, sin perjuicio de lo previsto en el §14.

3. Naturaleza, finalidad y tipologia de los datos tratados

3.1 Finalidad

3.2 Categorias de interesados

3.3 Tipologia de datos personales tratados

Categorias especiales de datos (art. 9 RGPD): el documento de identidad puede contener categorias especiales de datos (p. ej. lugar de nacimiento). El Responsable declara disponer de una base juridica adecuada conforme al art. 9.2 RGPD (tipicamente lett. b, f o g) e instruye al Encargado para limitar el tratamiento de tales datos a las comunicaciones requeridas por la ley frente a las autoridades publicas y a la conservacion en los plazos previstos.

4. Instrucciones del Responsable (art. 28.3.a RGPD)

El Encargado trata los datos personales exclusivamente sobre la base de instrucciones documentadas del Responsable. Las instrucciones generales estan contenidas en el presente DPA, en la Politica de Privacidad, en la Informacion RGPD y en los Terminos del Servicio. Pueden impartirse instrucciones especificas por el Responsable a traves de:

Si el Encargado considera que una instruccion infringe el RGPD u otras disposiciones aplicables, informa inmediatamente al Responsable.

5. Obligaciones del Encargado (art. 28.3.b-h RGPD)

El Encargado se compromete a:

  1. Confidencialidad: tratar los datos de forma confidencial y garantizar que las personas autorizadas al tratamiento estan obligadas a la confidencialidad;
  2. Seguridad: adoptar las medidas tecnicas y organizativas del Anexo B, adecuadas al riesgo;
  3. Subencargados: respetar las condiciones del §6;
  4. Asistencia al Responsable: asistir al Responsable en el cumplimiento de sus obligaciones, en particular:
  5. Devolucion / supresion de los datos al final, segun lo previsto en el §14;
  6. Informacion: poner a disposicion del Responsable toda la informacion necesaria para demostrar el cumplimiento del presente DPA.

6. Subencargados (art. 28.2 y 28.4 RGPD)

6.1 Autorizacion general

El Responsable autoriza al Encargado a designar los subencargados enumerados en vezpa.it/subprocessors y aquellos que se anadiran posteriormente segun el procedimiento aqui descrito.

6.2 Preaviso de modificacion

El Encargado comunica al Responsable la intencion de anadir o sustituir a un subencargado con al menos 30 dias de preaviso, mediante email a la direccion registrada y/o aviso en el dashboard. Dentro de dicho plazo, el Responsable puede oponerse motivadamente. En caso de oposicion no resoluble, cualquiera de las partes puede rescindir el contrato con cese del tratamiento afectado.

6.3 Obligaciones frente a los subencargados

El Encargado impone por escrito a los subencargados obligaciones de proteccion de datos equivalentes a las aqui previstas, y responde frente al Responsable de la actuacion de los subencargados.

7. Data breach (art. 33 RGPD)

En caso de violacion de datos personales que afecte a los datos tratados por cuenta del Responsable, el Encargado:

La notificacion al Responsable se realiza via email a la direccion registrada y PEC, si esta disponible. El Responsable sigue siendo responsable de las notificaciones externas (autoridad de control, interesados) en virtud de los arts. 33-34 RGPD.

8. Derechos de los interesados (art. 28.3.e RGPD)

Si un interesado se dirige directamente al Encargado para ejercer derechos relativos a datos tratados por cuenta del Responsable, el Encargado traslada la solicitud al Responsable sin demora y no responde por cuenta del Responsable salvo instrucciones diferentes.

El Encargado pone a disposicion del Responsable, en el dashboard y via API, funcionalidades para:

Para las solicitudes que requieran intervencion tecnica manual, el Encargado responde en un plazo de 10 dias laborables desde la recepcion de la instruccion del Responsable.

9. Auditorias (art. 28.3.h RGPD)

El Encargado proporciona al Responsable, a peticion, informacion y documentacion que demuestre el cumplimiento del presente DPA, entre ellas:

El Responsable puede llevar a cabo auditorias (directamente o a traves de terceros independientes sujetos a confidencialidad) con un preaviso de al menos 30 dias, durante el horario laboral, sin interrumpir las operaciones y con una frecuencia no superior a una vez al ano (salvo data breach). Cada parte asume sus propios costes.

10. Transferencias extra-UE (Capitulo V RGPD)

La lista de los subencargados con indicacion del domicilio y de la base juridica de la transferencia se publica en vezpa.it/subprocessors. Para las transferencias no cubiertas por decision de adecuacion, el Encargado adopta:

11. Rol del Responsable

El Responsable declara y garantiza haber:

12. Confidencialidad

Cada parte mantiene estrictamente confidencial toda la informacion recibida de la otra parte en ejecucion del presente DPA, durante toda la duracion del contrato y durante los 5 anos siguientes.

13. Responsabilidad

La responsabilidad de cada parte conforme al art. 82 RGPD frente a los interesados sigue estando regulada por la ley. En las relaciones entre las partes, el regimen de responsabilidad contractual es el establecido en los Terminos del Servicio (§9-10), sin perjuicio del reparto inderogable previsto en el art. 82 RGPD.

14. Cese del tratamiento

Al cesar el contrato por cualquier causa, el Encargado:

  1. Pone a disposicion del Responsable las herramientas para exportar sus datos en formato estructurado (CSV/JSON) durante 30 dias desde el cese;
  2. Transcurridos los 30 dias, suprime o anonimiza los datos tratados por cuenta del Responsable de los sistemas de produccion;
  3. Suprime los datos de las copias de seguridad en el siguiente ciclo de rotacion (tipicamente en un plazo de 90 dias);
  4. Conserva los datos que Vezpa esta obligada a conservar por ley (tipicamente: datos de facturacion y registros de seguridad) solo durante los plazos impuestos por la normativa aplicable, manteniendo sobre ellos medidas de seguridad adecuadas.

15. Modificaciones

El Encargado puede modificar el presente DPA para adaptarlo a evoluciones normativas (p. ej. nuevas SCC, resoluciones de la autoridad de control) o variaciones organizativas. Las modificaciones sustanciales se comunican al Responsable con al menos 30 dias de preaviso. Si el Responsable no las acepta, puede rescindir sin penalizacion por la parte no disfrutada de la suscripcion.

16. Ley aplicable

El presente DPA esta regulado por la ley italiana. Para las controversias se aplica el §16 de los Terminos del Servicio.

Anexo A - Descripcion sintetica del tratamiento

Punto Descripcion
Naturaleza del tratamiento Recogida, registro, organizacion, estructuracion, conservacion, adaptacion, extraccion, consulta, uso, comunicacion, transmision a canales OTA y autoridades publicas, supresion
Finalidad Vease §3.1
Categorias de interesados Vease §3.2
Categorias de datos Vease §3.3
Duracion Durante toda la duracion del contrato. Retencion especifica por categorias de datos segun Politica de Privacidad §6

Anexo B - Medidas tecnicas y organizativas de seguridad (art. 32 RGPD)

Medidas tecnicas

Medidas organizativas

Anexo C - Subencargados autorizados

La lista vigente se publica y se mantiene actualizada en vezpa.it/subprocessors. En el momento del inicio del contrato, la lista incluye (entre otros):

Contactos para cuestiones del DPA

Encargado del tratamiento:
Vezpa di Paolo Vezzola
Email: [email protected]
PEC: [email protected]
Desenzano del Garda, via San Zeno 67


© 2022-2026 Vezpa - Todos los derechos reservados | Politica de Privacidad | Terminos del Servicio | Politica de Cookies | RGPD | DPA | Subencargados