Contrato de Encargado del Tratamiento (DPA)

REUNIDOS

De una parte, como RESPONSABLE DEL TRATAMIENTO (en adelante, “el Responsable” o “el Cliente”):

Razón social / Nombre:

NIF/CIF:

Domicilio:

Representante:

Email de contacto:

De otra parte, como ENCARGADO DEL TRATAMIENTO (en adelante, “el Encargado”):

Denominación: Agente Infinito

Titular: [PENDIENTE — actualizar tras alta autónomo]

NIF: [PENDIENTE]

Domicilio: [PENDIENTE]

Email: info@agenteinfinito.com

EXPONEN

I. Que el Responsable ha contratado los servicios de automatización de lectura de documentos de Agente Infinito, conforme al contrato de prestación de servicios suscrito entre ambas partes.

II. Que la prestación de dicho servicio implica el acceso y tratamiento por parte del Encargado de datos personales de los que el Responsable es titular o responsable.

III. Que, en cumplimiento del artículo 28 del Reglamento (UE) 2016/679 (RGPD) y de la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), las partes formalizan el presente contrato de encargado del tratamiento.

ACUERDAN

Primera — Objeto y duración

El presente contrato tiene por objeto regular el tratamiento de datos personales que el Encargado realiza por cuenta del Responsable en el marco de la prestación de los servicios de automatización de lectura de documentos PDF (facturas, pedidos, albaranes) y generación de datos estructurados para importación al ERP del Responsable.

La duración de este contrato está vinculada a la duración del contrato de prestación de servicios suscrito entre las partes. A la finalización del servicio, se aplicarán las obligaciones de borrado y devolución de datos previstas en la cláusula novena.

Segunda — Naturaleza y finalidad del tratamiento

El tratamiento consiste en:

Recepción automática de documentos PDF enviados por el Responsable a un alias de email dedicado (@facturas.agenteinfinito.com).
Extracción automática de datos contenidos en dichos documentos mediante tecnología de inteligencia artificial (visión por computador).
Generación de ficheros de importación estructurados (Excel, CSV) y volcado de datos en hojas de cálculo del Responsable (Google Sheets).
Matching automático de productos con el catálogo de artículos del ERP del Responsable.

La finalidad exclusiva del tratamiento es la automatización de la entrada de datos del Responsable en su sistema ERP. El Encargado no utilizará los datos para ninguna otra finalidad.

Tercera — Tipo de datos personales tratados

Los datos personales objeto de tratamiento son los contenidos en los documentos comerciales (facturas, pedidos, albaranes) del Responsable, que pueden incluir:

Nombres y apellidos o razones sociales de proveedores y clientes.
Números de identificación fiscal (NIF/CIF).
Direcciones postales y de correo electrónico.
Números de teléfono.
Datos bancarios (IBAN, números de cuenta).
Importes económicos y condiciones comerciales.
Descripciones de productos y referencias.

No se tratan categorías especiales de datos personales (art. 9 RGPD).

Cuarta — Categorías de interesados

Los interesados cuyos datos son objeto de tratamiento son:

Proveedores del Responsable (personas jurídicas y, en su caso, personas físicas autónomas).
Clientes del Responsable (personas jurídicas y, en su caso, personas físicas autónomas).
Personas de contacto de las entidades anteriores (nombres, emails, teléfonos que aparezcan en los documentos).

Quinta — Obligaciones del Encargado del Tratamiento

El Encargado se compromete a:

Tratar los datos únicamente según instrucciones documentadas del Responsable. El Encargado no tratará los datos para fines propios ni los cederá a terceros, salvo en los casos previstos en este contrato o por obligación legal. Si el Encargado considera que alguna instrucción infringe la normativa de protección de datos, informará al Responsable de inmediato.
Garantizar la confidencialidad. El Encargado garantiza que las personas autorizadas para tratar datos personales se han comprometido a respetar la confidencialidad o están sujetas a una obligación legal de confidencialidad.
Implementar medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad apropiado al riesgo, conforme al artículo 32 del RGPD. Dichas medidas se detallan en la cláusula octava del presente contrato.
No subcontratar sin autorización. El Encargado no recurrirá a otro encargado del tratamiento sin la autorización previa y por escrito del Responsable. Los subencargados autorizados a la firma del presente contrato se detallan en la cláusula sexta. Cualquier incorporación o sustitución de subencargados será comunicada al Responsable con al menos 15 días de antelación, pudiendo el Responsable oponerse en un plazo de 10 días.
Asistir al Responsable en el cumplimiento de su obligación de atender las solicitudes de ejercicio de derechos de los interesados (acceso, rectificación, supresión, portabilidad, limitación, oposición). El Encargado comunicará al Responsable cualquier solicitud recibida directamente de un interesado en un plazo máximo de 48 horas.
Asistir al Responsable en el cumplimiento de las obligaciones establecidas en los artículos 32 a 36 del RGPD (seguridad del tratamiento, notificación de violaciones de seguridad, evaluaciones de impacto y consultas previas).
Borrar o devolver los datos al finalizar la prestación del servicio, conforme a lo establecido en la cláusula novena, y suprimir las copias existentes salvo que la legislación de la Unión o de los Estados miembros exija su conservación.
Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el artículo 28 del RGPD, así como para permitir y contribuir a la realización de auditorías o inspecciones por parte del Responsable o de un auditor autorizado.

Sexta — Subencargados del tratamiento autorizados

El Responsable autoriza expresamente la subcontratación de los siguientes prestadores de servicios, que actúan como subencargados del tratamiento:

Subencargado	Servicio	Ubicación	Garantías
Anthropic PBC	Procesamiento IA de documentos (extracción de datos mediante visión por computador)	Estados Unidos	DPA suscrito con Anthropic. No utiliza datos de la API para entrenar modelos. Cifrado en tránsito y en reposo. Certificación SOC 2 Type II.
Google LLC	Almacenamiento de datos extraídos (Google Sheets y Google Drive del Responsable)	UE / Estados Unidos	Cláusulas contractuales tipo (SCCs). Certificación ISO 27001. Cifrado en tránsito y en reposo.
Hostinger International Ltd	Alojamiento de los sistemas del Encargado	UE (Lituania)	Conforme al RGPD. Certificación ISO 27001. Centro de datos en la Unión Europea.

El Encargado se asegura de que los subencargados ofrecen garantías suficientes y están sujetos a las mismas obligaciones de protección de datos establecidas en el presente contrato.

Séptima — Transferencias internacionales de datos

En el marco de la prestación del servicio, los datos personales pueden ser transferidos a los Estados Unidos de América para su procesamiento por Anthropic PBC (extracción de datos de documentos mediante inteligencia artificial).

Dichas transferencias se realizan al amparo de:

Cláusulas contractuales tipo aprobadas por la Comisión Europea (art. 46.2.c del RGPD).
Decisión de adecuación de la Comisión Europea respecto al Marco de Privacidad de Datos UE-EE.UU. (EU-US Data Privacy Framework), cuando resulte aplicable.

El Encargado informará al Responsable de cualquier cambio en la ubicación del procesamiento de datos o en las garantías aplicables a las transferencias internacionales.

Octava — Medidas de seguridad

El Encargado ha implementado las siguientes medidas técnicas y organizativas para proteger los datos personales del Responsable:

Cifrado en tránsito: todas las comunicaciones se realizan mediante protocolos TLS/HTTPS.
Control de acceso: acceso restringido a los sistemas mediante credenciales individuales y autenticación segura.
Borrado automático de documentos originales: los emails con documentos PDF adjuntos se eliminan automáticamente tras su procesamiento, en un plazo inferior a 24 horas.
Almacenamiento en cuentas del Responsable: los datos extraídos se almacenan en Google Sheets y Google Drive propiedad del Responsable, bajo su control directo.
Sin almacenamiento persistente de documentos: el Encargado no conserva copias de los documentos PDF originales una vez procesados.
Monitorización: sistema de monitorización automática (watchdog) para detección temprana de incidencias y anomalías.
Principio de minimización: solo se extraen y almacenan los datos estrictamente necesarios para la finalidad del servicio.

Novena — Retención y borrado de datos

Los plazos de conservación y borrado de datos son los siguientes:

Documentos PDF originales: borrados automáticamente tras su procesamiento, en un plazo inferior a 24 horas desde su recepción.
Datos extraídos: almacenados en Google Sheets y Google Drive del Responsable mientras dure la prestación del servicio. El Responsable mantiene el control total sobre estos datos en todo momento.
Al finalizar el servicio: el Encargado procederá al borrado de todos los datos del Responsable que obren en sus sistemas en un plazo máximo de 30 días naturales desde la finalización del contrato de servicios. Se incluyen configuraciones, credenciales de acceso y cualquier dato derivado del servicio.

El Responsable podrá solicitar una certificación de destrucción de datos al Encargado, quien la facilitará en un plazo máximo de 10 días hábiles.

Décima — Notificación de brechas de seguridad

En caso de producirse una violación de seguridad de los datos personales tratados por cuenta del Responsable, el Encargado:

Notificará al Responsable en un plazo máximo de 48 horas desde que tenga conocimiento de la brecha, por email al contacto proporcionado en este contrato.
Facilitará al Responsable, como mínimo, la siguiente información:
- Descripción de la naturaleza de la violación.
- Categorías y número aproximado de interesados afectados.
- Posibles consecuencias de la violación.
- Medidas adoptadas o propuestas para poner remedio a la brecha y mitigar sus efectos.
Colaborará con el Responsable en la gestión de la brecha y en el cumplimiento de las obligaciones de notificación a la autoridad de control (art. 33 RGPD) y a los interesados (art. 34 RGPD), si procede.

Undécima — Derechos y obligaciones del Responsable

El Responsable se compromete a:

Garantizar que dispone de base legal para el tratamiento de los datos personales contenidos en los documentos que envía al Encargado.
Facilitar al Encargado las instrucciones necesarias para el correcto tratamiento de los datos.
Supervisar el tratamiento realizado por el Encargado, incluyendo la realización de auditorías cuando lo considere necesario, con un preaviso mínimo de 15 días.
Informar a los interesados del tratamiento de sus datos, incluyendo la comunicación a encargados del tratamiento, conforme a los artículos 13 y 14 del RGPD.

Duodécima — Ley aplicable y jurisdicción

El presente contrato se rige por la legislación española, en particular por el Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).

Para la resolución de cualquier controversia derivada de la interpretación o ejecución del presente contrato, las partes se someten a los juzgados y tribunales del domicilio del Encargado del Tratamiento.

Y en prueba de conformidad, las partes firman el presente contrato de encargado del tratamiento por duplicado y a un solo efecto, en el lugar y fecha indicados en el encabezamiento.

EL RESPONSABLE (Cliente)

Firma:

Nombre:

Cargo:

EL ENCARGADO (Agente Infinito)