Acuerdo de encargo de tratamiento (DPA)

01 Partes y definiciones

Partes

Encargado del Tratamiento:

Responsable del Tratamiento:

En adelante, ambas partes serán denominadas conjuntamente «las Partes» y, separadamente, «la Parte».

Definiciones

Los términos «datos personales», «tratamiento», «responsable del tratamiento», «encargado del tratamiento», «interesado», «categorías especiales de datos» y «violación de la seguridad» tienen el significado que les otorga el Reglamento (UE) 2016/679 (en adelante, «RGPD»). El término «Servicio» se refiere a Contextual Docs, según se describe en las Condiciones del Servicio.

02 Objeto, naturaleza y finalidad

El presente Acuerdo de Encargo de Tratamiento (en adelante, «DPA») regula el tratamiento de datos personales que el Encargado realiza por cuenta del Responsable como consecuencia de la prestación del Servicio.

La naturaleza del tratamiento consiste en el alojamiento, procesamiento, extracción, clasificación, indexación, búsqueda y exportación de los documentos que el Responsable sube al Servicio, con independencia de su formato (PDF, imagen, hoja de cálculo, correo electrónico u otros).

La finalidad del tratamiento es prestar el Servicio al Responsable conforme a las Condiciones del Servicio. El Encargado no tratará los datos personales con ninguna otra finalidad ajena al cumplimiento del Servicio.

03 Duración

Este DPA producirá efectos desde la fecha de aceptación de las Condiciones del Servicio o desde la firma del presente documento, lo que ocurra antes, y se mantendrá vigente mientras esté en vigor el contrato del Servicio entre las Partes.

Las obligaciones que por su naturaleza deban subsistir tras la finalización (confidencialidad, devolución/supresión, asistencia en reclamaciones pendientes) permanecerán en vigor el tiempo razonablemente necesario.

04 Datos personales tratados

El detalle de los tipos de datos personales y de las categorías de interesados se incluye en el Anexo I. Como regla general, los datos tratados son los que el Responsable libremente decida incluir en los documentos que sube al Servicio.

El Responsable se compromete a no incluir categorías especiales de datos (art. 9 RGPD: salud, datos biométricos identificativos, ideología, religión, etc.) sin haber cumplido los requisitos adicionales que le sean exigibles. El Servicio no está diseñado para tratar de forma sistemática categorías especiales.

05 Instrucciones del Responsable

El Encargado tratará los datos personales únicamente conforme a las instrucciones documentadas del Responsable, que están contenidas en:

• Las Condiciones del Servicio.
• La Política de Privacidad del Encargado.
• El presente DPA y sus Anexos.
• Las configuraciones, parámetros y acciones que el Responsable o sus usuarios autorizados realicen a través de la propia aplicación del Servicio.

Si el Encargado considera, conforme al art. 28.3 in fine RGPD, que una instrucción del Responsable infringe el RGPD, la LOPDGDD u otra disposición de protección de datos de la Unión o de un Estado miembro, lo comunicará inmediatamente al Responsable y podrá suspender la ejecución hasta que el Responsable confirme o rectifique la instrucción.

06 Obligaciones del Encargado

El Encargado se compromete a:

• Tratar los datos personales conforme al art. 28 RGPD y a las instrucciones documentadas del Responsable.
• Llevar registro de las actividades de tratamiento efectuadas por cuenta del Responsable conforme al art. 30.2 RGPD.
• No utilizar los datos personales del Responsable para finalidades propias del Encargado, en particular, no utilizarlos para entrenar modelos de inteligencia artificial, ni propios ni de terceros.
• No comunicar ni ceder los datos personales a terceros, salvo a los subencargados autorizados o por imperativo legal.
• Asistir al Responsable en el cumplimiento de sus obligaciones, en los términos previstos en este DPA.
• Poner a disposición del Responsable la información necesaria para demostrar el cumplimiento de sus obligaciones, conforme al art. 28.3.h RGPD.

07 Confidencialidad del personal

El Encargado garantiza que todas las personas autorizadas para tratar los datos personales del Responsable se comprometen, expresamente y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, debiendo informarlas debidamente.

El Encargado mantendrá a disposición del Responsable la documentación acreditativa del cumplimiento de esta obligación, en caso de solicitud razonable.

08 Medidas técnicas y organizativas

El Encargado aplicará, conforme al art. 32 RGPD, las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo. El detalle de las medidas vigentes se describe en el Anexo II y se publica de forma actualizada en el Centro de Seguridad.

El Encargado podrá actualizar las medidas técnicas y organizativas siempre que el nivel de protección no se vea reducido. Los cambios sustanciales se notificarán al Responsable conforme al apartado 16 (Modificaciones) del presente DPA.

09 Subencargados

El Responsable autoriza, con carácter general, al Encargado para subcontratar a otros encargados del tratamiento (en adelante, «Subencargados») los servicios que sean necesarios para la prestación del Servicio.

La lista actualizada de Subencargados autorizados está disponible de forma pública y permanente en contextualdocs.com/legal/subprocesadores, y se reproduce en el Anexo III a la fecha de efectos de este DPA.

Cuando el Encargado pretenda incorporar o sustituir a un Subencargado relevante para el tratamiento de los documentos del Servicio, lo notificará al Responsable con una antelación mínima de treinta (30) días, mediante correo electrónico al punto de contacto facilitado por el Responsable, o mediante notificación dentro de la propia aplicación. Durante dicho plazo el Responsable podrá oponerse fundadamente al cambio. Si la oposición no puede resolverse, cualquiera de las Partes podrá resolver el contrato del Servicio sin penalización, conservando el derecho del Responsable a la portabilidad y supresión de los datos.

El Encargado se asegurará de que cada Subencargado quede vinculado por las mismas obligaciones de protección de datos que el Encargado, mediante contrato escrito que cumpla los requisitos del art. 28.4 RGPD. El Encargado responderá frente al Responsable del cumplimiento por el Subencargado de sus obligaciones.

10 Transferencias internacionales

El Contenido del Cliente (documentos, datos extraídos, metadatos derivados) no se transfiere fuera del Espacio Económico Europeo. Tanto el almacenamiento como el procesamiento de IA se realizan en infraestructura situada en la Unión Europea, principalmente en Madrid, España (Microsoft Azure Spain Central).

Existen, no obstante, transferencias acotadas y accesorias a Estados Unidos relativas a:

• La pasarela de pago (Polar Software Inc., con infraestructura legal en EE. UU. y datos del Servicio almacenados en la Unión Europea).
• El correo transaccional (Twilio Inc. — SendGrid).
• Servicios accesorios listados en el Anexo III.

Estas transferencias se realizan al amparo de las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (Decisión 2021/914) y, cuando el proveedor está adherido, del EU-U.S. Data Privacy Framework. El Encargado pondrá a disposición del Responsable copia de las garantías firmadas, previa solicitud razonable.

11 Asistencia al Responsable

Derechos de los interesados

El Encargado, considerando la naturaleza del tratamiento, asistirá al Responsable mediante medidas técnicas y organizativas apropiadas, en la medida posible, para que el Responsable pueda cumplir con su obligación de responder a las solicitudes que ejerciten los interesados sobre sus derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento, portabilidad y a no ser objeto de decisiones individualizadas automatizadas (arts. 15 a 22 RGPD).

Cuando los interesados ejerzan sus derechos directamente ante el Encargado, este los redirigirá al Responsable y se lo notificará sin dilación.

Otras obligaciones del Responsable

El Encargado asistirá también al Responsable, teniendo en cuenta la naturaleza del tratamiento y la información de la que disponga, en el cumplimiento de sus obligaciones bajo los arts. 32 a 36 RGPD, en particular:

• Garantizar la seguridad del tratamiento (art. 32).
• Notificar las violaciones de seguridad (arts. 33 y 34) — desarrollado en el apartado 12.
• Realizar las evaluaciones de impacto relativas a la protección de datos (art. 35) cuando proceda.
• Realizar las consultas previas a la autoridad de control (art. 36) cuando proceda.

12 Notificación de brechas de seguridad

El Encargado notificará al Responsable cualquier violación de la seguridad de los datos personales que afecte a los datos tratados por cuenta del Responsable, sin dilación indebida y, en cualquier caso, dentro de las setenta y dos (72) horas siguientes a tener constancia de la misma.

La notificación se realizará por correo electrónico al punto de contacto facilitado por el Responsable e incluirá, en la medida en que la información esté disponible:

• La naturaleza de la violación, las categorías y el número aproximado de interesados afectados.
• Las categorías y el número aproximado de registros de datos personales afectados.
• Los datos de contacto del Encargado para más información.
• Las posibles consecuencias de la violación.
• Las medidas adoptadas o propuestas para poner remedio a la violación y, si procede, para mitigar los posibles efectos negativos.

Cuando, y en la medida en que, no sea posible facilitar la información simultáneamente, esta se facilitará de manera gradual, sin dilación indebida. La notificación al Encargado por parte del Responsable de cualquier sospecha de violación deberá realizarse igualmente al punto de contacto del Encargado.

13 Devolución y supresión al final del tratamiento

Cuando finalice la prestación del Servicio, por cualquier causa, el Encargado suprimirá los datos personales tratados por cuenta del Responsable conforme a los plazos descritos en la Política de Privacidad:

• Datos del Servicio (documentos, resultados, metadatos): se suprimen de los entornos de producción de forma inmediata al eliminar la cuenta o al resolverse el contrato, sin papelera ni opción de recuperación posterior.
• Datos de facturación: se conservan durante seis (6) años, conforme al art. 30 del Código de Comercio y a la normativa fiscal aplicable. Esta conservación se limita estrictamente a los datos necesarios para cumplir la obligación legal y en ningún caso afectará a los documentos del Responsable.
• Logs de seguridad y auditoría: se conservan durante doce (12) meses, salvo que una obligación legal o una investigación abierta exija su conservación adicional.

El Responsable es responsable de descargar lo que necesite antes de eliminar la cuenta. El Encargado emitirá certificado de cumplimiento de la supresión a solicitud razonable del Responsable.

14 Derecho de auditoría

El Encargado pondrá a disposición del Responsable la información necesaria para demostrar el cumplimiento de las obligaciones del art. 28 RGPD y permitirá la realización de auditorías, incluidas inspecciones, por parte del Responsable o de un auditor autorizado por aquel, en los siguientes términos:

• El Encargado proporcionará, en respuesta a solicitudes razonables del Responsable, su dossier de seguridad, certificaciones, informes de auditoría de terceros, atestaciones y demás documentación de cumplimiento de la que disponga.
• Las inspecciones in situ se acordarán por escrito entre las Partes con un preaviso razonable de al menos treinta (30) días, en horario laboral, sin interferir indebidamente con las operaciones del Encargado y sujetas a las obligaciones de confidencialidad y seguridad del Encargado.
• Salvo causa justificada, requerimiento de autoridad competente o brecha de seguridad relevante, las inspecciones in situ no podrán realizarse con una frecuencia superior a una (1) al año.
• Los costes de las auditorías o inspecciones serán asumidos por el Responsable, salvo que la auditoría revele un incumplimiento sustancial atribuible al Encargado.

15 Responsabilidad e indemnización

Cada Parte responderá frente a la otra de los daños y perjuicios que le cause el incumplimiento de sus obligaciones bajo el RGPD y el presente DPA, en los términos del art. 82 RGPD.

La responsabilidad económica del Encargado bajo este DPA queda sujeta a la limitación de responsabilidad establecida en el apartado 10 de las Condiciones del Servicio. Las limitaciones no aplicarán cuando la legislación aplicable las prohíba (en particular, en supuestos de dolo, culpa grave o derechos imperativos del consumidor).

16 Modificaciones del DPA

El Encargado podrá modificar el presente DPA para adaptarlo a cambios legislativos, jurisprudenciales, regulatorios o de las orientaciones de las autoridades de control. Las modificaciones sustanciales se notificarán al Responsable con una antelación razonable de al menos treinta (30) días. Si el Responsable no estuviera de acuerdo, podrá resolver el contrato del Servicio sin penalización antes de la entrada en vigor de los cambios.

Las modificaciones meramente formales o que mejoren las garantías para el Responsable serán de aplicación inmediata.

17 Ley aplicable y jurisdicción

El presente DPA se rige por el RGPD, por la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), y, supletoriamente, por el Derecho español.

Para la resolución de cualquier controversia derivada de la interpretación o ejecución de este DPA, las Partes, con renuncia expresa a cualquier otro fuero que pudiera corresponderles, se someten a los Juzgados y Tribunales de Madrid (España), sin perjuicio de los fueros imperativos en favor de los consumidores.

A1 Anexo I — Detalles del tratamiento

1. Categorías de interesados

Personas físicas cuyos datos figuren en los documentos que el Responsable suba al Servicio. Con carácter enunciativo y no limitativo:

• Empleados, colaboradores y proveedores del Responsable.
• Clientes y prospectos del Responsable.
• Contactos comerciales y autoridades.
• Cualquier otra persona física identificada o identificable en los documentos subidos.

2. Tipos de datos personales

Con carácter enunciativo y no limitativo, los datos que aparezcan en los documentos del Responsable, que pueden incluir:

• Datos identificativos: nombre, apellidos, DNI/NIE, número de pasaporte.
• Datos de contacto: dirección postal, correo electrónico, teléfono.
• Datos profesionales: cargo, empresa, departamento.
• Datos económico-financieros: IBAN, datos bancarios, importes facturados, condiciones de pago.
• Datos de transacciones: facturas, contratos, albaranes, pedidos.
• Cualesquiera otros datos personales que el Responsable decida incluir voluntariamente en los documentos.

3. Categorías especiales de datos

El Responsable se compromete a no incluir categorías especiales de datos (art. 9 RGPD) sin haber cumplido los requisitos adicionales aplicables. El Servicio no está diseñado para tratar de forma sistemática categorías especiales.

4. Naturaleza y finalidad del tratamiento

Alojamiento, procesamiento, extracción, clasificación, indexación, búsqueda y exportación de los documentos subidos al Servicio, con la finalidad de prestar el Servicio al Responsable conforme a las Condiciones del Servicio.

5. Duración del tratamiento

Mientras esté en vigor el contrato del Servicio entre las Partes, salvo los plazos legales de conservación posteriores establecidos en el apartado 13.

A2 Anexo II — Medidas de seguridad

Resumen de las principales medidas técnicas y organizativas. El detalle completo se publica de forma actualizada en el Centro de Seguridad y está disponible bajo NDA en el Dossier de Seguridad.

1. Medidas técnicas

• Cifrado en reposo: AES-256 sobre todo el almacenamiento gestionado por Microsoft Azure en la región Spain Central.
• Cifrado en tránsito: TLS 1.3 con suites criptográficas modernas y rotación periódica de certificados.
• Aislamiento de la inferencia: cada documento se procesa en un entorno efímero cuya salida se limita a los endpoints de IA autorizados situados en la Unión Europea.
• Autenticación: obligatoria para todo acceso al Servicio. Autenticación reforzada disponible en planes que la incluyan.
• Backups: copias de seguridad cifradas, gestionadas por la infraestructura cloud y sometidas a sus ciclos de rotación.
• Registro de eventos: trazabilidad de los accesos a documentos y de las ejecuciones de procesamiento, conservados por el plazo descrito en el apartado 13.

2. Medidas organizativas

• Mínimo privilegio: el personal del Encargado accede únicamente a los datos estrictamente necesarios para sus funciones.
• Confidencialidad: todo el personal autorizado firma compromisos expresos de confidencialidad.
• Gestión de subencargados: contratos firmados con cada Subencargado conforme al art. 28.4 RGPD.
• Apoyo en proveedores certificados: infraestructura heredada de proveedores con certificación ISO 27001 y SOC 2 Type II (Microsoft Azure, MongoDB Atlas, Supabase, entre otros).
• Plan de gestión de incidentes: protocolos internos para detección, contención, comunicación al Responsable (≤ 72 h) y notificación a la AEPD cuando proceda.
• Política de retención y supresión: borrado inmediato del Contenido del Cliente al fin del tratamiento, conforme al apartado 13.

3. Roadmap de seguridad

El Encargado mantiene un roadmap público de mejoras de seguridad, accesible en el Centro de Seguridad, que incluye —entre otras— la futura implantación de MFA obligatorio, SSO con SAML, pentest anual independiente y certificación ISO 27001 propia.

A3 Anexo III — Subencargados autorizados

La lista nominal y siempre actualizada se publica en contextualdocs.com/legal/subprocesadores. A la fecha de efectos de este DPA, los Subencargados autorizados son:

F Firmas

Las Partes manifiestan su conformidad con el contenido del presente DPA y firman a continuación.