ANEXO A

Contrato de Encargo de Tratamiento (CET)

Conforme al artículo 28.3 del Reglamento (UE) 2016/679 (RGPD)

v1.0 --- 15 de marzo de 2026

Proveedor: [NOMBRE COMPLETO] ([NIF PENDIENTE --- completar tras alta autónomo])

⚠️ Este Anexo forma parte integrante de los Términos y Condiciones del servicio Yefris v1.0. Su aceptación se produce simultáneamente a la aceptación de los Términos.

ℹ️ Este CET establece las obligaciones de Yefris como Encargado del Tratamiento (Art. 4.8 RGPD) y del Restaurante Cliente como Responsable del Tratamiento (Art. 4.7 RGPD), conforme a los requisitos del Art. 28.3 RGPD y el Art. 28 LOPD-GDD.

1. Identificación de las partes

RESPONSABLE DEL TRATAMIENTO: el establecimiento de hostelería titular de la cuenta Yefris (en adelante, "el Restaurante" o "el Responsable").

ENCARGADO DEL TRATAMIENTO: [NOMBRE COMPLETO], NIF [NIF PENDIENTE --- completar tras alta autónomo], domicilio en Zaragoza, España, correo kike@yefris.com, titular del servicio Yefris (en adelante, "Yefris" o "el Encargado").

2. Objeto del encargo

Yefris tratará datos personales por cuenta del Restaurante exclusivamente para las finalidades necesarias para la prestación del servicio descrito en la Cláusula 3 de los Términos. El tratamiento consistirá en:

• Almacenamiento y procesamiento de datos de empleados del Restaurante (gestión de acceso al TPV, control de turnos).

• Almacenamiento y procesamiento de datos de comensales del Restaurante (gestión de reservas, garantías de no-show).

• Procesamiento mediante IA (OCR) de imágenes de facturas de proveedores del Restaurante para extracción de datos contables.

• Generación y almacenamiento de tickets de venta conforme a la normativa VeriFactu (RD 1007/2023).

• Almacenamiento temporal de imágenes del plano del local, carta y logotipo durante el proceso de onboarding.

• Procesamiento de conversaciones con el asistente IA "Yefri" durante el onboarding.

3. Duración del encargo

El presente CET tendrá la misma vigencia que el contrato de servicio principal (Términos y Condiciones). A su terminación, Yefris procederá conforme a lo establecido en la Cláusula 10 del presente Anexo.

4. Naturaleza y categorías de datos tratados

Colectivo Categorías de datos Base jurídica (Responsable)

Empleados del Nombre, rol, PIN (hash Art. 6.1.b (contrato Restaurante Argon2id), logs de laboral) + Art. 6.1.c actividad, turnos (obligación legal)

Comensales Nombre, teléfono/email, Art. 6.1.b nº comensales, fecha (precontractual) + Art. reserva, referencia 6.1.a para cargo garantía tokenizada de tarjeta
(Stripe)

Proveedores del Razón social, CIF/NIF, Art. 6.1.b (contrato Restaurante dirección fiscal, comercial) + Art. 6.1.f importes (de facturas) (interés legítimo contable)

Representante del Nombre, email, datos de Art. 6.1.b (ejecución Restaurante facturación del contrato SaaS) establecimiento

5. Obligaciones del Encargado (Yefris)

Conforme al Art. 28.3 RGPD, Yefris se compromete a:

1. Tratar los datos personales únicamente siguiendo las instrucciones documentadas del Restaurante, incluidas las relativas a transferencias internacionales de datos personales, salvo que esté obligado a ello en virtud del Derecho de la Unión o de los Estados miembros aplicable al Encargado. (Art. 28.3.a)

2. Garantizar que las personas autorizadas para tratar los datos personales se comprometan a guardar confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria. (Art. 28.3.b)

3. Adoptar todas las medidas de seguridad técnicas y organizativas requeridas conforme al Art. 32 RGPD, detalladas en la Cláusula 7 del presente Anexo. (Art. 28.3.c)

4. Respetar las condiciones para recurrir a otro Encargado (subencargados) establecidas en la Cláusula 6 del presente Anexo. (Art. 28.3.d)

5. Asistir al Responsable, teniendo en cuenta la naturaleza del tratamiento y con las medidas técnicas y organizativas apropiadas, en la medida de lo posible, para que pueda cumplir con su obligación de responder a las solicitudes de ejercicio de los derechos de los interesados. (Art. 28.3.e)

6. Ayudar al Responsable a garantizar el cumplimiento de las obligaciones de seguridad (Art. 32), notificación de brechas (Arts. 33-34), evaluaciones de impacto (Art. 35) y consultas previas (Art. 36) RGPD. (Art. 28.3.f)

7. Suprimir o devolver todos los datos personales al Responsable tras la finalización de los servicios conforme a la Cláusula 10, y suprimir las copias existentes salvo obligación legal de conservación. (Art. 28.3.g)

8. Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones del Art. 28 RGPD, y permitir y contribuir a las auditorías previstas en la Cláusula 8. (Art. 28.3.h)

6. Subencargados del tratamiento

El Restaurante, al aceptar los presentes Términos, autoriza de forma general a Yefris a contratar los siguientes subencargados para la prestación del servicio, con quienes Yefris ha suscrito Contratos de Encargo de Tratamiento con obligaciones equivalentes a las del presente Anexo:

Proveedor Servicio País / Datos accesibles Garantía

Contabo GmbH Infraestructura Alemania (UE) Todos los datos VPS (hosting)

Google LLC IA (OCR + EE.UU. --- SCCs Imágenes facturas, chatbot) UE conversaciones onboarding

Stripe Inc. Pagos EE.UU. --- SCCs Referencia tarjeta UE (tokenizada), datos facturación

Brevo (Sendinblue Email Francia (UE) Email, nombre SAS) transaccional (notificaciones reservas)

Backblaze Inc. Backups cifrados EE.UU. --- SCCs Backups cifrados UE, región EU (datos en reposo) Central

Yefris notificará al Restaurante de cualquier adición o sustitución de subencargados con al menos 30 días de antelación, dando la oportunidad de oponerse. La oposición injustificada que impida la prestación del servicio podrá dar lugar a la resolución del contrato.

7. Medidas de seguridad (Art. 32 RGPD)

Yefris implementa y mantiene las siguientes medidas técnicas y organizativas:

7.1 Medidas técnicas

• Cifrado en tránsito: TLS 1.3 en todas las comunicaciones. HSTS (HTTP Strict Transport Security) activo.

• Cifrado de credenciales: PINs de empleados almacenados con Argon2id (estado del arte 2026). Contraseñas de administrador con hash seguro.

• Aislamiento de datos: Row Level Security (RLS) en PostgreSQL 16 garantiza que cada restaurante solo accede a sus propios datos (multi-tenant).

• Copias de seguridad: WAL-G con RPO de 15 minutos. Cifradas. Almacenadas en región UE (Backblaze EU Central). Retención 7 días.

• Control de acceso a producción: autenticación por clave SSH (sin contraseña). fail2ban activo (3 intentos fallidos → bloqueo 24h).

• Registro de auditoría: log inmutable de todas las operaciones del TPV (pos_audit_log), incluyendo empleado, acción, timestamp y hash de integridad.

• Pagos: tokenización íntegra vía Stripe (PCI DSS nivel 1). Nunca se almacena el PAN completo de la tarjeta.

• Gestión de secretos: API keys y credenciales almacenadas en variables de entorno, no en código fuente.

7.2 Medidas organizativas

• Acceso al servidor de producción restringido a Kike (CTO y único desarrollador).

• Política de desarrollo seguro: revisión de dependencias, no uso de datos de producción en entornos de desarrollo.

• Procedimiento documentado de notificación de brechas de seguridad (plazo 72h, conforme Art. 33 RGPD).

• Evaluación de Impacto en Protección de Datos (EIPD) en proceso de elaboración conforme al Art. 35 RGPD.

8. Derecho de auditoría

El Responsable tiene derecho a realizar, por sí mismo o mediante un auditor designado, auditorías y revisiones del cumplimiento del presente Contrato por parte del Encargado, previa notificación escrita con al menos 30 días de antelación, en horario que no perturbe la operación del servicio.

Yefris se compromete a facilitar toda la información razonablemente necesaria para demostrar el cumplimiento de las obligaciones del presente CET, incluyendo documentación de las medidas de seguridad implementadas.

Los costes de la auditoría serán a cargo del Responsable, salvo que la auditoría revele un incumplimiento imputable al Encargado.

9. Notificación de brechas de seguridad

En caso de que Yefris tenga conocimiento de una brecha de seguridad que afecte a datos personales del Restaurante, notificará al Responsable sin dilación indebida y, en todo caso, en un plazo máximo de 48 horas desde su detección, por correo electrónico a la dirección registrada en la cuenta.

La notificación incluirá como mínimo:

• Descripción de la naturaleza de la brecha, incluyendo categorías y número aproximado de interesados y registros afectados.

• Nombre y datos de contacto del punto de contacto de Yefris.

• Descripción de las posibles consecuencias de la brecha.

• Descripción de las medidas adoptadas o propuestas para remediar la brecha.

El Responsable es quien determina, a la vista de la información facilitada, si procede notificar la brecha a la AEPD (Art. 33 RGPD) y, en su caso, a los interesados afectados (Art. 34 RGPD).

10. Devolución y supresión de datos

A la finalización del contrato de servicio, Yefris:

9. Mantendrá los datos accesibles durante 30 días para permitir la exportación por parte del Restaurante.

10. Transcurridos los 30 días, eliminará los datos de todos los sistemas activos (base de datos de producción, caché, logs de aplicación).

11. Los datos permanecerán en las copias de seguridad cifradas durante el período de retención establecido (máximo 6 años por obligaciones legales), transcurrido el cual serán eliminados de forma segura mediante sobreescritura.

12. Yefris proporcionará al Restaurante, previa solicitud escrita, certificación de supresión de datos en los sistemas activos.

ℹ️ La conservación de datos en copias de seguridad durante el período legal no constituye tratamiento activo, no permite el acceso individualizado a los datos y está sujeta a las mismas medidas de seguridad descritas en la Cláusula 7.

11. Ejercicio de derechos de los interesados

Cuando Yefris reciba directamente una solicitud de ejercicio de derechos (acceso, rectificación, supresión, oposición, limitación, portabilidad) de un interesado cuyos datos son tratados en nombre del Restaurante, la remitirá al Restaurante en el plazo máximo de 3 días hábiles, sin responder directamente al interesado, salvo instrucción expresa del Responsable.

Yefris asistirá técnicamente al Restaurante para dar cumplimiento a dichas solicitudes en el plazo legal de un mes (Art. 12.3 RGPD).

12. Transferencias internacionales

El tratamiento de datos personales se realiza principalmente en infraestructura dentro del Espacio Económico Europeo (servidor Contabo en Alemania, backups en Backblaze EU Central en Ámsterdam).

Para los subencargados con sede fuera del EEE (Google LLC, Stripe Inc., Backblaze Inc.), las transferencias internacionales están amparadas por Cláusulas Contractuales Tipo (SCCs) adoptadas por la Comisión Europea (Decisión de Ejecución 2021/914), que constituyen garantías adecuadas conforme al Art. 46.2.c RGPD.

13. Conflicto entre documentos

En caso de conflicto entre el presente CET y los Términos y Condiciones generales del servicio, prevalecerá el CET en todo lo relativo a la protección de datos personales.

14. Ley aplicable y resolución de conflictos

El presente CET se rige por el Derecho español, en particular el RGPD, la LOPD-GDD y las resoluciones y directrices de la AEPD y el Comité Europeo de Protección de Datos (CEPD).

Para la resolución de cualquier controversia derivada de la interpretación o ejecución del presente CET, las partes se someten a la jurisdicción de los Juzgados y Tribunales de Zaragoza, con renuncia expresa a cualquier otro fuero.

Fecha de entrada en vigor: 15 de marzo de 2026