Volver al inicio

ACUERDO DE ENCARGADO DEL TRATAMIENTO (DPA)

De conformidad con el artículo 28 del Reglamento (UE) 2016/679 (RGPD) y el artículo 33 de la Ley Orgánica 3/2018 (LOPDGDD)

PARTES

RESPONSABLE DEL TRATAMIENTO (en adelante, "el Responsable"):

  • La organización cliente que contrata los servicios de AI Discovery, cuyos datos identificativos constan en el contrato de prestación de servicios o en el registro de la Plataforma.

ENCARGADO DEL TRATAMIENTO (en adelante, "el Encargado"):

  • Denominación social: OnWork Cloud S.L.
  • CIF: B63305320
  • Domicilio: Carrer de l'Or 203, 43006 Tarragona
  • Correo electrónico: info@onwork.cloud

1. Objeto del encargo

El presente acuerdo tiene por objeto regular las condiciones en las que el Encargado tratará datos personales por cuenta del Responsable en el marco de la prestación de los servicios de la plataforma AI Discovery (https://aidiscovery.cloud).

2. Naturaleza y finalidad del tratamiento

El Encargado tratará los datos personales exclusivamente para las siguientes finalidades:

  • Almacenamiento y gestión de los datos de empleados del Responsable en la Plataforma
  • Envío de invitaciones por correo electrónico a los empleados para participar en la evaluación
  • Recopilación de respuestas de formularios de evaluación
  • Procesamiento de conversaciones con inteligencia artificial para la identificación de oportunidades de mejora
  • Generación de informes ejecutivos agregados
  • Soporte técnico y mantenimiento de la Plataforma

3. Tipo de datos personales tratados

Categoría Datos
Datos identificativos Nombre completo, dirección de correo electrónico laboral
Datos profesionales Departamento, cargo profesional (si se proporcionan)
Datos de evaluación Respuestas a cuestionarios sobre tareas diarias, herramientas utilizadas, antigüedad
Datos generados por IA Transcripción de la conversación con el asistente de IA, oportunidades de mejora detectadas, puntuaciones de impacto/esfuerzo

No se tratan categorías especiales de datos (Art. 9 RGPD): no se solicita ni se procesa información relativa a salud, ideología, religión, orientación sexual, origen étnico u otros datos sensibles.

4. Categorías de interesados

Empleados y colaboradores de la organización del Responsable que participan en el proceso de evaluación.

5. Duración del tratamiento

El tratamiento tendrá la duración del contrato de prestación de servicios entre las partes. Los resultados del análisis se conservarán durante un período máximo de 4 meses desde su generación. Finalizada la relación contractual, se aplicará lo dispuesto en la cláusula 12.

6. Obligaciones del Encargado

El Encargado se compromete a:

6.1 Instrucciones del Responsable

  • Tratar los datos personales únicamente siguiendo las instrucciones documentadas del Responsable, incluidas las relativas a transferencias internacionales de datos.
  • Informar al Responsable si, en su opinión, alguna instrucción infringe el RGPD u otras disposiciones de protección de datos.

6.2 Confidencialidad

  • Garantizar que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza legal.

6.3 Medidas de seguridad (Art. 32 RGPD)

El Encargado aplicará las siguientes medidas técnicas y organizativas:

  • Cifrado de datos en tránsito (TLS/HTTPS) y en reposo
  • Control de acceso basado en roles (RBAC)
  • Aislamiento de datos por organización (arquitectura multi-tenant)
  • Políticas de seguridad a nivel de fila (Row Level Security) en la base de datos
  • Registro de auditoría de acciones sensibles
  • Limitación de solicitudes (rate limiting)
  • Contraseñas almacenadas con hash seguro
  • Copias de seguridad automáticas de la base de datos
  • Alojamiento en servidores europeos (Supabase EU — eu-west-1)

6.4 Sub-encargados

El Responsable autoriza de forma general al Encargado a recurrir a los siguientes sub-encargados del tratamiento:

Sub-encargado Servicio Ubicación Salvaguarda
Supabase, Inc. Base de datos y autenticación UE (eu-west-1) Datos alojados en la UE
Anthropic, PBC Procesamiento IA de conversaciones EE.UU. EU-US Data Privacy Framework / SCCs
Stripe, Inc. Procesamiento de pagos EE.UU. EU-US Data Privacy Framework / SCCs
Resend, Inc. Envío de correos electrónicos EE.UU. EU-US Data Privacy Framework / SCCs

El Encargado informará al Responsable de cualquier cambio previsto en la incorporación o sustitución de sub-encargados con un preaviso mínimo de 30 días, dando al Responsable la oportunidad de oponerse. Todos los sub-encargados estarán sujetos a las mismas obligaciones de protección de datos establecidas en este acuerdo.

6.5 Derechos de los interesados

  • Asistir al Responsable en la atención del ejercicio de derechos de los interesados (acceso, rectificación, supresión, limitación, portabilidad, oposición y a no ser objeto de decisiones automatizadas).
  • Cuando un interesado ejerza sus derechos directamente ante el Encargado, este lo comunicará al Responsable en un plazo máximo de 2 días laborables.

6.6 Notificación de brechas de seguridad

  • Notificar al Responsable sin dilación indebida, y en todo caso en un plazo máximo de 48 horas, cualquier violación de seguridad de los datos personales de la que tenga conocimiento.
  • La notificación incluirá como mínimo: naturaleza de la violación, categorías y número aproximado de interesados afectados, consecuencias probables y medidas adoptadas o propuestas.

6.7 Evaluación de impacto

  • Asistir al Responsable en la realización de evaluaciones de impacto relativas a la protección de datos (DPIA) y en las consultas previas a la autoridad de control, cuando proceda.

6.8 Auditoría

  • Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en este acuerdo.
  • Permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del Responsable o de un auditor autorizado, previa solicitud con un preaviso razonable de 15 días.

7. Obligaciones del Responsable

El Responsable se compromete a:

  • Informar a sus empleados sobre el tratamiento de sus datos y el uso de inteligencia artificial antes de invitarles a participar en la evaluación.
  • Garantizar que dispone de una base legal adecuada para el tratamiento de los datos de sus empleados (consentimiento, interés legítimo o ejecución de contrato).
  • No proporcionar al Encargado categorías especiales de datos personales (Art. 9 RGPD).
  • Atender los derechos de los interesados que sean sus empleados.

8. Decisiones automatizadas y elaboración de perfiles

Las partes reconocen que la Plataforma utiliza inteligencia artificial para analizar las respuestas de los empleados y generar recomendaciones. En relación con el Art. 22 RGPD:

  • Los resultados del análisis son orientativos y requieren validación humana por parte del Responsable.
  • El Responsable se compromete a no tomar decisiones con efectos jurídicos o significativos sobre los empleados basándose exclusivamente en los resultados automatizados sin supervisión humana.
  • El Responsable informará a los empleados participantes sobre la existencia de la elaboración de perfiles y las consecuencias previstas.

9. Transferencias internacionales

Las transferencias internacionales de datos a los sub-encargados indicados en la cláusula 6.4 están amparadas por:

  • La adhesión del sub-encargado al EU-US Data Privacy Framework, y/o
  • Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (Decisión 2021/914)

El Encargado proporcionará al Responsable, previa solicitud, copia de las garantías aplicables.

10. Responsabilidad

Cada parte será responsable del cumplimiento de sus respectivas obligaciones en materia de protección de datos conforme al RGPD. El Encargado responderá de los daños causados por el tratamiento únicamente cuando no haya cumplido las obligaciones del RGPD dirigidas específicamente a los encargados o haya actuado al margen o en contra de las instrucciones del Responsable.

11. Confidencialidad

La información intercambiada entre las partes en virtud de este acuerdo tendrá carácter confidencial. Esta obligación subsistirá tras la finalización de la relación contractual.

12. Finalización del tratamiento

A la finalización de la prestación de servicios, el Encargado, a elección del Responsable:

  • Devolverá los datos personales al Responsable en un formato estructurado, de uso común y lectura mecánica (JSON/CSV), y suprimirá todas las copias existentes; o
  • Suprimirá todos los datos personales y certificará dicha supresión por escrito.

No obstante, el Encargado podrá conservar los datos bloqueados durante los plazos legalmente previstos para atender posibles responsabilidades derivadas del tratamiento.

13. Legislación aplicable

El presente acuerdo se rige por la legislación española y, en particular, por el RGPD y la LOPDGDD. Para la resolución de cualquier controversia, las partes se someten a los Juzgados y Tribunales de Tarragona.

FIRMAS

Por el Responsable del Tratamiento:

Nombre: ___________________________ Cargo: ___________________________ Fecha: ___________________________ Firma: ___________________________

Por el Encargado del Tratamiento (OnWork Cloud S.L.):

Nombre: ___________________________ Cargo: ___________________________ Fecha: ___________________________ Firma: ___________________________

Versión: marzo de 2026