Acuerdo de Tratamiento de Datos (DPA)
Versión 1.0 · Última actualización: 2026-05-13
Este Acuerdo de Tratamiento de Datos (en adelante, "DPA") forma parte integrante de los Términos y Condiciones y regula el tratamiento de datos personales realizado por Civiax (en adelante, "el Encargado") por cuenta del Cliente (en adelante, "el Responsable") en el marco del servicio contratado.
Este DPA se ajusta al artículo 28 del Reglamento (UE) 2016/679 (RGPD), a la Ley Orgánica 3/2018 (LOPDGDD) y a las Cláusulas Contractuales Tipo de la Comisión Europea cuando aplica transferencia internacional.
1. Definiciones
- Responsable del tratamiento: el Cliente que contrata el Servicio y decide los fines y medios del tratamiento.
- Encargado del tratamiento: Civiax, que trata los datos por cuenta del Responsable.
- Subencargado: tercero contratado por el Encargado para realizar tratamiento parcial (p.ej. proveedor de IA, hosting).
- Datos personales: los definidos en el Art. 4.1 RGPD que el Responsable incorpora al Servicio.
- Interesado: persona física a la que se refieren los datos.
2. Objeto y duración
El objeto de este DPA es regular el tratamiento que el Encargado realiza sobre los datos personales subidos, conectados o generados por el Responsable a través del Servicio.
La duración coincide con la vigencia de la suscripción contratada, ampliada por el período de retención legalmente exigible (facturación: 6 años).
3. Naturaleza y finalidad del tratamiento
El Encargado realiza, exclusivamente para prestar el Servicio, las siguientes operaciones:
- Recogida de documentos y mensajes desde fuentes conectadas por el Responsable (Drive, Gmail, M365, Dropbox, WhatsApp si activado, subidas locales).
- Almacenamiento cifrado en reposo en infraestructura europea (Supabase, Frankfurt).
- Indexación semántica (generación de embeddings) y por palabras clave.
- Procesamiento por modelos de IA para responder consultas y generar resúmenes.
- Generación de notificaciones, alertas y reportes para el Responsable.
El Encargado NO usa los datos del Responsable para entrenar modelos propios ni de terceros. Todos los proveedores de IA están contratados con cláusulas de no-entrenamiento ("zero-data-retention" o equivalente) según la documentación pública vigente del proveedor.
4. Tipos de datos personales tratados
| Categoría | Ejemplos | Origen |
|---|---|---|
| Identificación | Nombres, emails, teléfonos | Cuentas + documentos conectados |
| Profesional | Cargos, empresas, organigramas | Documentos |
| Financiero | Facturas, presupuestos | Documentos |
| Comunicaciones | Emails, mensajes WhatsApp (si activado) | Conectores con consent explícito |
| Especiales (Art. 9) | Salud, religión, ideología | Sólo si el Responsable los incorpora bajo su responsabilidad |
5. Categorías de interesados
- Empleados y colaboradores del Responsable.
- Clientes, proveedores y terceros con los que el Responsable mantiene comunicación.
- Personas físicas mencionadas en documentos subidos.
6. Obligaciones del Encargado
- Tratar los datos personales únicamente conforme a las instrucciones documentadas del Responsable (constituidas por estos términos y por las acciones del Responsable en la aplicación).
- Garantizar que las personas con acceso a los datos asuman el deber de confidencialidad.
- Implementar medidas técnicas y organizativas apropiadas (ver §10).
- Asistir al Responsable a responder a derechos de los interesados (acceso, rectificación, supresión, portabilidad, oposición, limitación) en plazos del RGPD.
- Notificar al Responsable cualquier brecha de seguridad sin dilación indebida (objetivo: 24h, máximo 72h).
- Devolver o suprimir los datos al finalizar el Servicio (a elección del Responsable).
- Poner a disposición del Responsable la información necesaria para demostrar el cumplimiento.
- NO subcontratar a otros encargados sin autorización previa (ver §8).
7. Obligaciones del Responsable
- Asegurar que cuenta con base legítima (Art. 6 RGPD) para tratar los datos que incorpora.
- Informar a los interesados sobre el tratamiento conforme a los Art. 13 y 14 RGPD.
- Obtener consentimiento explícito cuando sea exigible (datos especiales, mensajes WhatsApp).
- Configurar los controles de visibilidad y compartición de documentos según necesidad.
- Notificar al Encargado cualquier cambio relevante en sus instrucciones o necesidades.
8. Subencargados autorizados
El Responsable autoriza al Encargado a utilizar los siguientes Subencargados, todos ellos con DPA propio firmado por el Encargado y cláusulas adecuadas para tratamiento de datos:
| Subencargado | Finalidad | Ubicación | Garantías |
|---|---|---|---|
| Supabase | Almacenamiento BD + Storage | UE (Frankfurt) | RGPD compliant. Sin transferencia internacional. |
| Vercel | Hosting de la aplicación | UE (Frankfurt) preferente | DPA propio. SCC para casos de fallback regional. |
| Anthropic | Modelos Claude (chat, RAG) | EEUU | SCC + Zero data retention contratado. No entrenan con tus datos. |
| Google AI (Gemini) | Embeddings + clasificación auxiliar | EEUU | SCC. No entrenamiento con datos de API. |
| Voyage AI | Embeddings semánticos | EEUU | SCC. No entrenamiento. |
| Cohere | Re-ranking de resultados | EEUU/Canadá | SCC. No entrenamiento. |
| OpenAI | Whisper (transcripción audio) opcional | EEUU | SCC. Zero data retention en API. |
| Stripe | Procesamiento de pagos | EEUU/UE | SCC + PCI-DSS Level 1. |
| Resend | Envío de emails transaccionales | UE preferente | DPA propio. |
| Sentry | Monitorización de errores | EEUU/UE | SCC. PII scrubbing activado. |
| Upstash (Vercel KV) | Rate limiting + cache temporal | UE (Frankfurt) | Datos efímeros (<1h). RGPD compliant. |
Cualquier cambio en la lista de Subencargados se notificará por email al Responsable con al menos 30 días de antelación. El Responsable podrá oponerse motivadamente; en ese caso, cualquiera de las partes podrá rescindir el Servicio con devolución prorrateada.
9. Transferencias internacionales
Las transferencias de datos a Subencargados en EEUU se amparan en las Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea (Decisión 2021/914) y, cuando aplica, en el EU-US Data Privacy Framework (DPF) o equivalente vigente.
10. Medidas técnicas y organizativas (Art. 32 RGPD)
- Cifrado en tránsito: TLS 1.2+ en todas las comunicaciones.
- Cifrado en reposo: AES-256 en BD y Storage.
- Aislamiento por organización: RLS multitenancy en BD + checks de app.
- Autenticación: sesiones JWT firmadas con rotación de secreto. MFA disponible.
- Control de acceso: roles owner / admin / member / viewer con permisos granulares.
- Auditoría: log de eventos sensibles con retención mínima 90 días, exportable.
- Backups: PITR continuo (cuando plan Pro+ activo) + export off-site semanal en bucket dedicado.
- Monitoring: alertas automáticas ante anomalías (caídas, picos de coste, tablas vacías).
- PII masking: opcional per-org, enmascara DNI/IBAN/email/teléfono en chunks indexados.
- Test de seguridad: pentest manual sobre el SaaS. Pentest externo profesional planificado antes de venta a entidades reguladas (sanidad, legal, financiero).
11. Notificación de brechas
Ante una brecha de seguridad que pueda comprometer datos del Responsable, el Encargado notificará por email a la persona de contacto técnico designada (o al admin de la organización si no hay designación) sin dilación indebida, objetivo 24h, plazo máximo 72h desde el conocimiento de la brecha. La notificación incluirá:
- Naturaleza de la brecha y categorías/número aproximado de interesados afectados.
- Consecuencias probables y medidas adoptadas o propuestas para mitigarlas.
- Datos de contacto del DPO o equivalente.
12. Derechos de los interesados
El Encargado proporciona al Responsable las herramientas necesarias para responder a los derechos del Art. 15-22 RGPD:
- Acceso/portabilidad: endpoint
/api/me/exportque devuelve JSON estructurado. - Rectificación: edición directa en la UI del Servicio.
- Supresión: endpoint
/api/me/delete-accountcon grace de 30 días. - Oposición/limitación: controles per-documento y per-conector en la UI.
13. Auditorías
El Encargado proporcionará al Responsable, previa solicitud razonable y con preaviso de 30 días, evidencias del cumplimiento de este DPA (políticas, logs anonimizados, resultados de pentest). En clientes Enterprise se contempla auditoría in situ acordada bilateralmente.
14. Devolución y supresión al final del contrato
Tras la terminación del Servicio, el Responsable dispone de 30 días para exportar sus datos vía el endpoint dedicado. Pasado ese plazo, el Encargado procederá a su supresión irreversible (incluyendo backups en las siguientes rotaciones, máximo 4 semanas).
Se exceptúan los datos cuya conservación sea obligatoria por ley (facturación: 6 años; logs auditoría: 90 días).
15. Responsabilidad y limitación
Cada parte responde por los daños causados por su incumplimiento del RGPD y de este DPA. La responsabilidad del Encargado se limita a los importes pagados por el Responsable en los 12 meses previos al hecho causante, salvo dolo o negligencia grave.
16. Ley aplicable y jurisdicción
Este DPA se rige por la legislación española y el RGPD. Para cualquier conflicto, las partes se someten a los Juzgados y Tribunales de Madrid, con renuncia a cualquier otro fuero.
17. Contacto
Preguntas sobre este DPA: legal@civiax.es. DPO/Delegado de Protección de Datos: a designar (B2B Enterprise; PYME pueden contactar al responsable de seguridad del Encargado).
Este DPA es plantilla base. Para clientes con necesidades específicas (sector regulado, gran volumen, custodia documental especial) se puede firmar un addendum bilateral. Revisado por asesor legal antes de su uso en producción.