AEROCOPI
[ LEGAL · ENCARGO DE TRATAMIENTO (ART. 28 RGPD) ]

Encargo de tratamiento (DPA)

Cuando usas AeroCopi para gestionar los datos de tus clientes, pilotos y empleados, nosotros los tratamos por cuenta tuya. Este contrato regula ese encargo conforme al artículo 28 del RGPD: qué hacemos con esos datos, qué no haremos nunca y qué pasa con ellos cuando te vas.

Última actualización: 11 de julio de 2026

1. Partes, roles e incorporación por referencia

Este contrato de encargo de tratamiento (en adelante, el «DPA») se celebra entre el cliente profesional que contrata o usa la plataforma AeroCopi (el «Cliente», que actúa como responsable del tratamiento) y Bruce Moisés Pérez, titular de AeroCopi (el «Prestador», que actúa como encargado del tratamiento), conforme al artículo 28 del Reglamento (UE) 2016/679 («RGPD»).

El DPA forma parte integrante de los términos y condiciones del Servicio, a los que se incorpora por referencia: la aceptación de los Términos implica la aceptación de este DPA, sin necesidad de firma separada. En caso de conflicto entre ambos documentos en materia de protección de datos, prevalece el DPA.

Es importante distinguir los dos roles que AeroCopi desempeña, porque no se aplican las mismas reglas a todos los datos:

  • AeroCopi como responsable: respecto de los datos de la cuenta del Cliente y de sus usuarios (registro, identificación, facturación, seguridad, comunicaciones del servicio). Ese tratamiento se rige por la política de privacidad.
  • AeroCopi como encargado: respecto de los datos personales que el Cliente introduce en la plataforma en el ejercicio de su actividad (datos de sus propios clientes, pilotos, empleados y colaboradores). Ese tratamiento se rige por este DPA: el Cliente decide qué datos introduce y para qué; AeroCopi solo los aloja y procesa siguiendo sus instrucciones.

2. Objeto y duración

El objeto del DPA es regular el tratamiento de datos personales que el Prestador realiza por cuenta del Cliente como parte necesaria de la prestación del Servicio en modalidad SaaS. El encargo dura mientras esté vigente la suscripción o, en su caso, el acceso del Cliente al Servicio (incluida la fase beta). Al finalizar la relación se aplica lo previsto en la cláusula 9 (supresión o devolución).

3. Naturaleza y finalidad del tratamiento

El tratamiento consiste en alojar, almacenar, estructurar, consultar, mostrar, copiar (backups) y suprimir los datos que el Cliente introduce en la plataforma, con la única finalidad de prestarle las funciones del Servicio: gestión de flota y pilotos, logbook, evaluaciones SORA, generación de documentación (EARO, Manual de Operaciones, informes), planificación operacional, facturación a sus propios clientes y demás módulos descritos en los Términos. El Prestador no utiliza estos datos para fines propios, no los cede a terceros para los fines de estos y no elabora perfiles con ellos.

4. Tipos de datos y categorías de interesados

Los datos objeto del encargo son los que el Cliente decide introducir. Con carácter general:

  • Categorías de interesados: clientes y contactos comerciales del Cliente, pilotos y personal de su organización, empleados y colaboradores externos (freelance).
  • Tipos de datos: datos identificativos y de contacto (nombre, email, teléfono, dirección), datos profesionales (licencias y certificados de piloto, formaciones, aptitudes), datos operativos (vuelos, horas, incidencias) y datos económicos vinculados a presupuestos, facturas y pagos que el Cliente gestiona en la plataforma.

El Servicio no está concebido para tratar categorías especiales de datos (art. 9 RGPD). Si el Cliente introduce datos de esa naturaleza (por ejemplo, certificados médicos de pilotos), lo hace bajo su responsabilidad como responsable del tratamiento, debiendo contar con la base jurídica adecuada.

5. Obligaciones del encargado

Conforme al artículo 28.3 del RGPD, el Prestador se obliga a:

  • Tratar los datos solo bajo instrucciones documentadas del Cliente, que se entienden dadas mediante la contratación del Servicio, la configuración de la cuenta y el uso de las funciones de la plataforma. Si el Prestador considera que una instrucción infringe el RGPD u otra norma de protección de datos, informará al Cliente.
  • Confidencialidad: garantizar que las personas autorizadas a tratar los datos se han comprometido a la confidencialidad o están sujetas a una obligación legal equivalente.
  • Medidas de seguridad (art. 32 RGPD): aplicar medidas técnicas y organizativas apropiadas, entre ellas cifrado en tránsito (HTTPS/TLS), control de acceso con aislamiento multi-tenant (cada organización solo accede a sus propios datos), autenticación con contraseña cifrada, registros de actividad y copias de seguridad periódicas con retención limitada, alojadas en la Unión Europea.
  • No subcontratar sin autorización: conforme a la cláusula 6.
  • Asistir al Cliente en la respuesta a las solicitudes de derechos de los interesados y, teniendo en cuenta la naturaleza del tratamiento y la información disponible, en el cumplimiento de sus obligaciones de los artículos 32 a 36 del RGPD (seguridad, notificación de brechas, evaluaciones de impacto y consultas previas).
  • Suprimir o devolver los datos al finalizar la prestación, conforme a la cláusula 9.
  • Poner a disposición del Cliente la información necesaria para demostrar el cumplimiento de este DPA y permitir auditorías razonables, conforme a la cláusula 10.

6. Subencargados

El Cliente otorga al Prestador una autorización general para recurrir a subencargados en la prestación del Servicio. Los subencargados actuales son:

  • Hetzner Online GmbH — alojamiento de la infraestructura y de las copias de seguridad. Servidores en Alemania (Unión Europea).
  • Google Ireland Limited — envío del correo transaccional del Servicio (avisos, invitaciones, notificaciones).
  • Stripe Payments Europe, Ltd. — procesamiento de pagos de la suscripción, cuando los pagos estén activos. Trata los datos de pago del Cliente, no los datos que este introduce en la plataforma.

El Prestador impone a cada subencargado, por contrato, obligaciones de protección de datos equivalentes a las de este DPA, y responde ante el Cliente del cumplimiento de aquellos. Cualquier cambio de subencargados (alta o sustitución) se comunicará al Cliente con antelación razonable por medios electrónicos, dándole la posibilidad de oponerse por motivos justificados; si la oposición no puede resolverse, el Cliente podrá cancelar la suscripción antes de que el cambio surta efecto.

7. Notificación de violaciones de seguridad

El Prestador notificará al Cliente sin dilación indebida tras tener conocimiento de una violación de la seguridad que afecte a datos personales tratados por su cuenta, facilitando la información disponible sobre la naturaleza de la brecha, las categorías y el número aproximado de interesados y registros afectados, las consecuencias probables y las medidas adoptadas o propuestas. La notificación a la autoridad de control y, en su caso, a los interesados corresponde al Cliente como responsable; el Prestador le prestará la asistencia razonable que necesite.

8. Derechos de los interesados

Si un interesado (por ejemplo, un cliente o un piloto del Cliente) ejerce sus derechos de acceso, rectificación, supresión, oposición, limitación o portabilidad directamente ante el Prestador, este lo comunicará al Cliente sin dilación indebida para que lo gestione, ya que la relación con el interesado es del Cliente. La propia plataforma permite al Cliente atender la mayoría de estas solicitudes por sí mismo (consultar, corregir, exportar y eliminar los registros que gestiona).

9. Supresión o devolución al finalizar

A la finalización de la suscripción, el Cliente puede exportar sus datos desde la propia aplicación (sección de Ajustes → exportación de datos) antes de la baja efectiva. Transcurrido un plazo razonable desde la terminación, el Prestador suprimirá los datos personales tratados por cuenta del Cliente, incluidas las copias de seguridad conforme a su ciclo de rotación, salvo que una norma exija su conservación. A petición expresa del Cliente antes de la supresión, el Prestador facilitará una copia de los datos en un formato estructurado y de uso común.

10. Auditorías

El Prestador pondrá a disposición del Cliente la información razonablemente necesaria para demostrar el cumplimiento de las obligaciones de este DPA. El Cliente podrá realizar, como máximo una vez al año y con un preaviso razonable, auditorías o inspecciones razonables —por sí o por un auditor independiente no competidor del Prestador— limitadas al tratamiento objeto del encargo, en horario laborable y sin acceso a datos de otros clientes. Cada parte asume sus propios costes.

11. Contacto

Para cualquier cuestión relacionada con este DPA o con el tratamiento de datos por cuenta del Cliente, puedes escribir a privacidad@aerocopi.com. Este DPA se rige por la misma ley y jurisdicción que los términos y condiciones.