Contrato de encargo de tratamiento

Fecha de entrada en vigor: 4 de mayo de 2026

El presente Contrato de encargo de tratamiento (el «Contrato» o «DPA») forma parte de las Condiciones de usoentre el Cliente (el «Responsable») y Aleix Morte Sánchez (el «Encargado») y regula el tratamiento de datos personales que el Encargado lleva a cabo por cuenta del Responsable en relación con el servicio Lokuta. Se publica en cumplimiento del artículo 28 del Reglamento (UE) 2016/679 («RGPD»).

1. Definiciones

Los términos en mayúscula no definidos aquí tienen el significado atribuido en las Condiciones de uso o en el RGPD. «Datos Personales del Cliente» significa los datos personales en el sentido del artículo 4(1) RGPD tratados por el Encargado por cuenta del Responsable en el marco de la prestación del Servicio. «Subencargado» significa un tercero contratado por el Encargado para tratar Datos Personales del Cliente por su cuenta. «Cláusulas Contractuales Tipo» o «CCT» significa las cláusulas contractuales tipo para la transferencia de datos personales a terceros países adoptadas por la Decisión de Ejecución (UE) 2021/914 de la Comisión, de 4 de junio de 2021.

2. Ámbito y roles

Respecto de los Datos Personales del Cliente, el Responsable actúa como responsable del tratamiento (o como encargado de sus propios clientes, en cuyo caso el Encargado actúa como subencargado) y el Encargado actúa como encargado del tratamiento. El objeto, la duración, la naturaleza, la finalidad, las categorías de Datos Personales del Cliente y las categorías de interesados se describen en el Anexo I.

3. Obligaciones del Encargado

3.1 Instrucciones documentadas

El Encargado tratará los Datos Personales del Cliente únicamente siguiendo instrucciones documentadas del Responsable, incluso en lo relativo a transferencias a terceros países, salvo que esté obligado por el Derecho de la Unión o de un Estado miembro al que esté sujeto (en cuyo caso informará al Responsable de esa exigencia legal antes del tratamiento, salvo que el Derecho lo prohíba por razones importantes de interés público). Las Condiciones de uso, el presente Contrato y la configuración del Servicio realizada por el Responsable constituyen las instrucciones documentadas. Cualquier instrucción adicional deberá acordarse por escrito.

El Encargado informará al Responsable sin dilación cuando, en su opinión, una instrucción infrinja el RGPD u otras normas de protección de datos aplicables.

3.2 Confidencialidad

El Encargado garantiza que las personas autorizadas a tratar Datos Personales del Cliente se han comprometido a respetar la confidencialidad o están sujetas a una obligación legal de confidencialidad de naturaleza adecuada.

3.3 Seguridad del tratamiento

El Encargado aplica las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, incluidas las medidas descritas en el Anexo II. El Encargado podrá actualizar dichas medidas, siempre que el nivel de protección no se vea reducido.

3.4 Subencargados

El Responsable concede al Encargado una autorización general por escrito para contratar Subencargados para el tratamiento de Datos Personales del Cliente, en las condiciones siguientes:

• La lista actual de Subencargados figura en el Anexo III.
• El Encargado impondrá a cada Subencargado obligaciones de protección de datos mediante contrato escrito que, en sustancia, no sea menos protector que el presente Contrato, y responderá ante el Responsable del cumplimiento de las obligaciones de cada Subencargado.
• El Encargado informará al Responsable de cualquier incorporación o sustitución de Subencargados con al menos 30 días de antelación a su entrada en vigor, por correo electrónico o mediante aviso en el producto. El Responsable podrá oponerse por motivos razonables de protección de datos en el plazo de 15 días desde el aviso; si las partes no alcanzan una solución, el Responsable podrá resolver el Servicio respecto de la parte de tratamiento afectada sin penalización.

3.5 Asistencia en el ejercicio de derechos

Teniendo en cuenta la naturaleza del tratamiento, el Encargado asistirá al Responsable, mediante medidas técnicas y organizativas apropiadas, en el cumplimiento de su obligación de responder a las solicitudes de ejercicio de derechos previstas en el capítulo III del RGPD. Si un interesado se dirige directamente al Encargado, este remitirá la solicitud al Responsable sin dilación indebida.

3.6 Asistencia en seguridad, brechas y EIPD

Teniendo en cuenta la naturaleza del tratamiento y la información a disposición del Encargado, este asistirá al Responsable a fin de garantizar el cumplimiento de las obligaciones previstas en los artículos 32 a 36 del RGPD. El Encargado notificará al Responsable sin dilación indebida y en todo caso en un plazo de 72 horas desde que tenga conocimiento de una violación de la seguridad de los Datos Personales del Cliente, facilitando la información razonablemente necesaria para que el Responsable cumpla sus propias obligaciones de notificación.

3.7 Auditoría

El Encargado pondrá a disposición del Responsable toda la información razonablemente necesaria para demostrar el cumplimiento de las obligaciones del artículo 28 RGPD y permitirá y contribuirá a las auditorías, incluidas las inspecciones. Para minimizar las afectaciones, las partes acuerdan que:

• el Responsable podrá ejercer los derechos de auditoría como máximo una vez al año (salvo en caso de violación de seguridad o requerimiento de una autoridad de control, en cuyo caso podrá realizarse de forma inmediata);
• las auditorías deberán comunicarse con un preaviso mínimo de 30 días por escrito, realizarse en horario laboral y de forma que no interfiera de manera no razonable con la operativa del Encargado, y quedar sujetas a compromisos razonables de confidencialidad;
• el Encargado podrá atender los requerimientos de auditoría aportando certificaciones, documentación de seguridad e informes de Subencargados.

3.8 Devolución o supresión

A elección del Responsable, el Encargado suprimirá o devolverá todos los Datos Personales del Cliente al Responsable tras la finalización de la prestación de los servicios de tratamiento y suprimirá las copias existentes, salvo que el Derecho de la Unión o de un Estado miembro exija su conservación. Por defecto, el Encargado suprime los Datos Personales del Cliente conforme a los plazos de conservación descritos en la Política de privacidad.

4. Obligaciones del Responsable

El Responsable manifiesta y garantiza que dispone de todos los derechos, consentimientos y bases jurídicas necesarios para que el Encargado pueda tratar los Datos Personales del Cliente conforme a sus instrucciones, incluidos los consentimientos necesarios antes de grabar, transcribir o sincronizar datos personales a través del Servicio. El Responsable proporcionará a sus usuarios finales todas las informaciones de privacidad exigibles.

5. Transferencias internacionales

Cuando los Datos Personales del Cliente se transfieran fuera del Espacio Económico Europeo a un país que no haya sido objeto de una decisión de adecuación de la Comisión Europea, las partes celebran las CCT (Módulo 2 responsable-a-encargado o, cuando proceda, Módulo 3 encargado-a-encargado), que se entienden incorporadas por referencia al presente Contrato. Las cláusulas opcionales se excluyen; resulta de aplicación la opción 2 de la Cláusula 9(a) (autorización general por escrito con preaviso de 30 días); el texto opcional de la Cláusula 11(a) queda excluido; el Derecho aplicable a efectos de la Cláusula 17 será el Derecho español; el foro competente a efectos de la Cláusula 18 serán los Tribunales de España. Los Anexos I, II y III del presente Contrato sirven a su vez como anexos correspondientes de las CCT.

6. Responsabilidad

La responsabilidad de cada parte en virtud del presente Contrato se rige por las cláusulas de limitación de responsabilidad de las Condiciones de uso. Nada en el presente Contrato limita o restringe los derechos de los interesados conforme al RGPD.

7. Vigencia y resolución

El presente Contrato entra en vigor en la fecha en la que el Responsable acepta las Condiciones de uso y permanecerá vigente mientras el Encargado trate Datos Personales del Cliente por cuenta del Responsable. En caso de conflicto entre el presente Contrato y las Condiciones de uso, prevalecerá el presente Contrato respecto del tratamiento de Datos Personales del Cliente.

8. Ley aplicable y jurisdicción

El presente Contrato se rige por la legislación española, sin perjuicio de la aplicación de las disposiciones imperativas del Derecho de protección de datos de la Unión. Las controversias se someterán a la jurisdicción exclusiva de los Juzgados y Tribunales de la ciudad de Barcelona (España).

Anexo I — Descripción del tratamiento

A. Objeto y duración

Objeto: prestación del servicio Lokuta tal y como se describe en las Condiciones de uso. Duración: mientras el Responsable mantenga una suscripción activa o un Workspace gratuito, más los plazos de conservación previstos en la Política de privacidad.

B. Naturaleza y finalidad del tratamiento

Alojar, transmitir, transcribir, resumir y estructurar los Contenidos del Cliente; encaminar datos hacia y desde HubSpot conforme a las instrucciones del Responsable; gestionar cuentas, Workspaces y facturación; prestar soporte al cliente y operar la seguridad.

C. Tipos de datos personales

• datos de identificación y contacto de los usuarios;
• tokens de autenticación y datos de sesión;
• Contenidos del Cliente (audio transitorio, transcripciones, resúmenes, acciones, notas y cualesquiera datos personales que el Responsable decida incluir en ellos);
• datos intercambiados con HubSpot a instancia del Responsable (por ejemplo, datos de contactos, oportunidades y engagements);
• datos de facturación y fiscales;
• datos técnicos y de uso (registros, IP, dispositivo).

D. Categorías de interesados

• empleados, colaboradores y otros usuarios autorizados del Responsable;
• contactos, leads, clientes y demás personas físicas sobre las que el Responsable decida registrar notas o sincronizar datos a través del Servicio.

E. Frecuencia de la transferencia

Continuada, durante toda la prestación del Servicio.

F. Plazo de conservación

El indicado en la Política de privacidad, resumido en su apartado 6.

Anexo II — Medidas técnicas y organizativas

El Encargado aplica, como mínimo, las siguientes medidas, descritas con mayor detalle en la Política de privacidad:

• Control de acceso. Acceso por roles bajo el principio de mínimos privilegios; autenticación multifactor para accesos administrativos; procedimientos de revocación ante cambios de rol.
• Cifrado. TLS 1.2 o superior para los datos en tránsito; cifrado en reposo de la base de datos de producción y de las copias de seguridad.
• Seguridad de red. Uso de infraestructura cloud gestionada con defensa en profundidad, cortafuegos de aplicación web y protecciones DDoS en el edge.
• Seguridad de la aplicación. Revisión de código, monitorización de dependencias, gestión de secretos a través del almacén de secretos de la plataforma y aplicación regular de parches de seguridad.
• Registros y monitorización. Registros centralizados de aplicación y de acceso; alertas ante anomalías; pista de auditoría de acciones administrativas.
• Copias de seguridad y resiliencia. Copias cifradas en rotación de 30 días; procedimientos de restauración probados.
• Respuesta a incidentes. Procedimiento documentado de gestión de brechas con un objetivo de notificación al Responsable en 72 horas.
• Minimización de datos. El audio se procesa de forma transitoria y no se persiste; solo se almacenan las transcripciones y notas resultantes.
• Gobernanza de subencargados. Contratos de encargo escritos con cada Subencargado y revisión de su postura de seguridad antes de su incorporación.
• Personal. Obligaciones de confidencialidad y concienciación en seguridad para el personal (incluidos el profesional autónomo y los colaboradores).

Anexo III — Subencargados

La lista anterior es la vigente a la fecha de entrada en vigor del presente Contrato. El Encargado mantendrá una lista actualizada y notificará al Responsable cualquier cambio conforme al apartado 3.4.