Contrato de Encargo de Tratamiento (DPA)
Anexo II al contrato de prestación de servicios Bedel IA. Basado en las cláusulas tipo de la AEPD (modelo oficial).
Reunidos
De una parte, [NOMBRE DEL CENTRO] con CIF [CIF] y domicilio en [DOMICILIO], en adelante el Responsable.
De otra parte, [Bedel IA SL / autónomo] con NIF [NIF] y domicilio en [DOMICILIO], en adelante el Encargado.
1. Objeto
Las partes regulan el encargo de tratamiento de datos de carácter personal en los términos del art. 28 del Reglamento (UE) 2016/679 (RGPD), realizado por el Encargado por cuenta del Responsable con motivo de la prestación del servicio Bedel IA.
2. Identificación de la información tratada
Los datos tratados se almacenan en la infraestructura del Encargado y comprenden:
- Residentes / colegiales: nombre y apellidos, teléfono, email, habitación, planta, curso, grado, alérgenos, mensajes intercambiados.
- Familiares: nombre y apellidos, teléfono, email, vínculo con el residente, mensajes intercambiados.
- Personal del centro: nombre, teléfono, email, rol, contraseña cifrada (cuando aplique), 2FA.
- Denuncias: contenido del relato, categoría, prioridad, datos del denunciante (sólo si éste decide identificarse).
3. Duración
El presente contrato tendrá la duración del contrato principal de servicios. Una vez finalice el encargo, el Encargado deberá devolver al Responsable los datos personales y suprimir cualquier copia que esté en su poder en el plazo de noventa (90) días desde la finalización, salvo que una norma legal imponga un plazo de conservación superior.
4. Obligaciones del Encargado
- Tratar los datos personales únicamente conforme a las instrucciones documentadas del Responsable, incluso con relación a las transferencias internacionales.
- Garantizar que las personas autorizadas para tratar los datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes.
- Adoptar todas las medidas técnicas y organizativas apropiadas (art. 32 RGPD): cifrado en tránsito y en reposo, control de accesos, seudonimización de datos sensibles cuando sea posible, copias de seguridad cifradas, registro de logs auditables.
- No recurrir a otro encargado sin la autorización previa por escrito, específica o general, del Responsable. Encargados autorizados con carácter general (subencargados):
- Supabase Inc. (BD y autenticación, servidores en la UE).
- Anthropic PBC (modelo de IA, EE.UU., bajo SCC y medidas suplementarias).
- Resend Inc. (correo electrónico transaccional).
- Meta Platforms Ireland Ltd. (WhatsApp Business Cloud API, sede UE).
- Vercel Inc. (hosting de la aplicación, región EU).
- Asistir al Responsable en la respuesta al ejercicio de los derechos ARSULIPO (acceso, rectificación, supresión, limitación, portabilidad, oposición y a no ser objeto de decisiones automatizadas).
- Asistir al Responsable en la realización de evaluaciones de impacto (EIPD) y en consultas previas a la AEPD cuando proceda.
- Notificar al Responsable, sin dilación indebida y en menos de 72 horas, las violaciones de la seguridad de los datos personales que detecte, con la información del art. 33.3 RGPD.
- Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como permitir y contribuir a la realización de auditorías por parte del Responsable o de otro auditor autorizado por aquél, con un preaviso razonable.
- Llevar un registro de actividades de tratamiento (art. 30 RGPD), accesible al Responsable bajo solicitud.
5. Obligaciones del Responsable
- Entregar al Encargado los datos necesarios para la prestación del servicio.
- Realizar la consulta previa a la AEPD cuando corresponda y la EIPD cuando la actividad lo requiera.
- Velar por que el Encargado cumpla el RGPD y supervisar el tratamiento.
- Informar a los interesados (residentes, familiares, staff) del tratamiento de sus datos en el marco de la actividad del centro.
6. Transferencias internacionales
El Responsable autoriza al Encargado a recurrir a Anthropic PBC con sede en EE.UU. para el procesamiento del modelo de inteligencia artificial. Esta transferencia se ampara en las cláusulas contractuales tipo (Decisión (UE) 2021/914 de la Comisión Europea) firmadas entre el Encargado y Anthropic PBC, junto con medidas suplementarias post-Schrems II: cifrado, política contractual de no entrenamiento del modelo con datos del cliente, y minimización del payload enviado.
7. Confidencialidad
El Encargado y todo su personal mantendrán secreto profesional respecto a los datos tratados, incluso después de finalizar el contrato. Esta obligación es indefinida.
8. Responsabilidad
La responsabilidad de cada parte se rige por el art. 82 RGPD. La responsabilidad del Encargado por daños se limita contractualmente al importe equivalente a doce (12) mensualidades facturadas al Responsable en el año inmediatamente anterior al hecho generador, salvo dolo, culpa grave o vulneración de derechos fundamentales, supuestos en los que la limitación no aplicará.
9. Ley aplicable y jurisdicción
Este contrato se rige por el derecho español. Para la resolución de cualquier conflicto las partes se someten a los Juzgados y Tribunales de la ciudad de [CIUDAD], con renuncia a cualquier otro fuero que pudiera corresponderles.
10. Firma
En __________________________, a ___ de _________________ de 20___.
| Por el Responsable | Por el Encargado |
|---|---|
| Nombre: _____________________ | Nombre: _____________________ |
| Cargo: ______________________ | Cargo: ______________________ |
| Firma: | Firma: |