Go to App

Acuerdo de encargo del tratamiento de datos

Acuerdo de encargo del tratamiento

SALESCALING, en su condición de Encargado del Tratamiento (en adelante el “ENCARGADO”) tratará los datos personales que reciba del CLIENTE, como Responsable del Tratamiento (en adelante el “RESPONSABLE”) en relación con la ejecución del Contrato para la prestación de los Servicios siguiendo las instrucciones y finalidades determinadas por el RESPONSABLE.

A los efectos de este Acuerdo, “CLIENTE” se refiere a cualquier persona física o jurídica o entidad afiliada del Cliente que haya celebrado un contrato de prestación de servicios con SALESCALING y trate datos personales de los que este es responsable para garantizar la prestación de los servicios en virtud del contrato entre ambos.

Ambas partes, en el ejercicio de sus respectivas facultades, acuerdan suscribir el presente Acuerdo de Encargo del Tratamiento de Datos Personales (en adelante, el “Acuerdo”), en cumplimiento de lo establecido en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 (Reglamento General de Protección de Datos, en adelante “RGPD”) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (“LOPDGDD”), de conformidad con las siguientes,

Estipulaciones

1. Objeto

1.1. El ENCARGADO, en el marco del presente Acuerdo, tratará datos personales por cuenta del RESPONSABLE conforme a los términos y condiciones establecidos en el presente documento.

1.2. La finalidad del tratamiento es la prestación de los Servicios especificados en el contrato de prestación de servicios que ampara el presente Acuerdo.

1.3. La duración del encargo tendrá lugar mientras se mantenga la relación contractual entre las partes y hasta la eliminación de los datos personales conforme a lo establecido en este Acuerdo.

1.4. En relación con el Acuerdo, el RESPONSABLE es la persona que determina los fines y los medios para los cuales se procesan los Datos del RESPONSABLE por el encargad (como se define a continuación).

1.5. Los datos personales facilitados por el RESPONSABLE al ENCARGADO se refieren a las categorías de datos y de interesados indicados en el Apéndice I.

2. Obligaciones del Encargado del Tratamiento

El ENCARGADO y todo su personal se compromete a las siguientes obligaciones:

2.1. Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios. 2.2. Tratar los datos de acuerdo a las instrucciones documentadas del RESPONSABLE. 2.3. Si el ENCARGADO considera que alguna de las instrucciones infringe el RGPD, LOPDGDD o cualquier otra disposición en materia de protección de datos de la Unión Europea o de los Estados miembros, el ENCARGADO informará inmediatamente al RESPONSABLE. 2.4. No comunicar los datos a terceras personas, salvo que cuente con la previa autorización expresa por escrito del RESPONSABLE, en los supuestos legalmente establecidos y admisibles. 2.5. El ENCARGADO puede comunicar los datos a otros encargados del tratamiento del mismo responsable, de acuerdo con las instrucciones del RESPONSABLE. En este caso, el RESPONSABLE identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación. 2.6. El ENCARGADO realizará transferencias de datos personales a un tercer país o a una organización únicamente bajo las instrucciones documentadas del RESPONSABLE. Si el ENCARGADO debe transferir dichos datos personales a un tercer país o una organización internacional, en virtud del Derecho de la Unión Europea o de los Estados miembros que le sea aplicable, informará al RESPONSABLE de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público. 2.7. Asimismo, el ENCARGADO se obliga a devolver al RESPONSABLE, el soporte o soportes con los datos personales, o a destruirlos, a petición de esta última, una vez finalizada la prestación de servicios, sin conservar copia alguna de los mismos, salvo que así lo establezca el RESPONSABLE.

2.8. Subcontratación.

a. El ENCARGADO podrá subcontratar con terceros la ejecución de actividades del tratamiento de datos personales para la correcta prestación de los servicios objeto del presente Acuerdo, incluyendo determinados servicios técnicos e informáticos necesarios y servicios auxiliares necesarios.

b. En virtud de lo dispuesto en el RGPD y LOPDGDD, cualquier subcontratación del servicio que se lleve a cabo para el cumplimiento del contrato que quiera realizar el ENCARGADO, deberá ser comunicada al RESPONSABLE a la dirección de correo electrónico indicada en las Condiciones Particulares, indicando los tratamientos que se pretende subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo si el RESPONSABLE no manifiesta su oposición en el plazo de 5 días desde la comunicación.

c. La lista de Subencargados o proveedores autorizados se encuentra en el Apéndice I.

d. El subcontratista, que también tendrá la condición de encargado de tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el ENCARGADO y las instrucciones que dicte el RESPONSABLE.

e. Corresponde al ENCARGADO suscribir un nuevo contrato con el nuevo encargado de forma que quede sujeto a las mismas condiciones y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargado, el ENCARGADO seguirá siendo plenamente responsable ante el RESPONSABLE en lo referente al cumplimiento de las obligaciones.

2.9. El ENCARGADO podrá compartir datos personales del RESPONSABLE con aquellos proveedores de servicios o terceras empresas, incluyendo de servicios de inteligencia artificial, por instrucción del RESPONSABLE. En dicho caso, dado que el ENCARGADO actúa siguiendo instrucciones del RESPONSABLE no deberá preavisar a este, y será el RESPONSABLE quien velará por que dicho proveedor cumpla con las garantías en materia de protección de datos personales y sobre su adecuación a la normativa aplicable.

2.10. Mantener el deber de secreto respecto de los datos de carácter personales a los que haya tenido acceso el ENCARGADO en virtud de los servicios prestados al RESPONSABLE, incluso después de finalizada la relación entre ambos.

2.11. Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente.

2.12. Mantener a disposición del RESPONSABLE la documentación acreditativa del cumplimiento de la obligación establecida en el apartado anterior.

2.13. Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar dichos datos.

2.14. Asistir al RESPONSABLE teniendo cuenta la naturaleza del tratamiento, a través de medidas técnicas y organizativas apropiadas, siempre que sea posible, para que este pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados.

2.15. Cuando las personas afectadas ejerzan los derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de datos y a no ser objeto de decisiones individualizadas automatizadas, ante el ENCARGADO, éste debe comunicarlo por correo electrónico a la dirección indicada por el RESPONSABLE. La comunicación debe hacerse tan pronto como sea posible, haciendo sus mayores esfuerzos por que se produzca dentro de los 3 días laborables desde la recepción de la solicitud, e incluirá, en su caso, otras informaciones que puedan ser relevantes para resolver la solicitud.

2.16. Derecho de información. Corresponde al RESPONSABLE facilitar el derecho de información en el momento de la recogida de los datos.

2.17. Notificación de violaciones de la seguridad de los datos

a. El ENCARGADO notificará al RESPONSABLE, sin dilación indebida, y en cualquier caso antes del plazo máximo de 36 horas, y a través de una comunicación simple, las violaciones de la seguridad de las que tenga conocimiento de los datos a su cargo, junto con toda la información y documentación relevante de la incidencia.

b. No será necesaria la notificación cuando sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.

c. La notificación incluirá como mínimo la información siguiente:

  i. Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.

  ii. El nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.

  iii. Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.

  iv. Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos. Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.

2.18. Dar apoyo al RESPONSABLE en la realización de las evaluaciones de impacto relativas a la protección de datos, cuando proceda.

2.19. Dar apoyo al RESPONSABLE en la realización de las consultas previas a la autoridad de control, cuando proceda.

2.20. Poner a disposición del RESPONSABLE toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realicen el responsable u otro auditor autorizado por él, cuando sea requerido.

2.21. Medidas de Seguridad. El ENCARGADO se compromete a aplicar a los datos de carácter personal las medidas de seguridad necesarias para evitar su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural. En este sentido, de conformidad con lo dispuesto en los artículos 24 y 32 del RGPD, el ENCARGADO está obligado a tener implementadas las medidas de seguridad técnicas y organizativas apropiadas.

2.22. Concretamente, el ENCARGADO adoptará las medidas de seguridad establecidas en el Apéndice I.

2.23. Destino de los datos. El ENCARGADO se compromete a destruir los datos, una vez cumplida la prestación. No obstante, el ENCARGADO puede conservar una copia, con los datos debidamente boqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación.

3. Obligaciones del Responsable del tratamiento

El RESPONSABLE se compromete a:

3.1. Responder de los datos personales objeto de tratamiento.

3.2. Realizar una evaluación del impacto en la protección de datos personales de las operaciones de tratamiento a realizar por el encargado cuando proceda.

3.3. Garantizar el deber de información frente a los interesados de conformidad con los arts. 13 y 14 RGPD.

3.4. Realizar las consultas previas que corresponda.

3.5. Velar, de forma previa y durante todo el tratamiento, por el cumplimiento del RGPD y LOPDGDD por parte del ENCARGADO.

3.6. Comunicar los cambios de la estructura básica de los datos que impliquen o puedan implicar un cambio en la aplicación de las medidas de seguridad.

3.7. Facilitar el acceso al ENCARGADO únicamente de aquellos datos que resulten adecuados, pertinentes y no excesivos, en razón de la finalidad del servicio contratado.

3.8. EL RESPONSABLE deberá garantizar al titular de los datos de carácter personal en función de la naturaleza, el ámbito, el contexto y los fines del tratamiento, en base a lo dispuesto en el artículo 24 del RGPD, que ha adoptado las medidas técnicas y organizativas apropiadas para mantener la seguridad de los datos personales facilitados.

3.9. Corresponde al RESPONSABLE comunicar en el menor tiempo posible las violaciones de la seguridad de los datos a los interesados, cuando sea probable que la violación suponga un alto riesgo para los derechos y las libertades de las personas físicas.

La comunicación debe realizarse en un lenguaje claro y sencillo y deberá, como mínimo:

a. Explicar la naturaleza de la violación de datos.

b. Indicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.

c. Describir las posibles consecuencias de la violación de la seguridad de los datos personales.

d. Describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

3.10. El RESPONSABLE velará por que los proveedores de servicios o terceras empresas a las que el ENCARGADO comunique datos personales bajo instrucción del RESPONSABLE cumplan con las garantías en materia de protección de datos y resto de normativa vigente y se responsabiliza frente al ENCARGADO.

Apéndice I al Acuerdo de encargo del tratamiento sobre los detalles del tratamiento

1. Finalidad(es) del tratamiento:

Garantizar la prestación del/los servicio/s contratados por el RESPONSABLE, conforme al Contrato de prestación de servicios. Dicho tratamiento podrá incluir distintos servicios tecnológicos, como la grabación y transcripción de llamadas y reuniones, así como la el uso de SDRs a través de Agentes de IA entre el RESPONSABLE y sus trabajadores o clientes finales.

2. Tipología de datos personales facilitados por el RESPONSABLE al ENCARGADO:

  1. Datos identificativos (Ej.: nombre y apellidos, teléfono, correo electrónico, etc.)

  2. Datos profesionales y de empresa (Ej.: cargo, empresa, sector de actividad, datos de contacto profesional, identificador de usuario en sistemas internos)

  3. Datos de acceso y uso de sistemas (Ej.: identificadores de usuario, registros de acceso, direcciones IP, cookies, logs)

  4. Datos técnicos y operacionales.

  5. Grabaciones de audio y video de las llamadas.

  6. Las Partes no recogerán ni tratarán intencionadamente ninguna categoría especial de datos. El ENCARGADO informará inmediatamente de cualquier recepción involuntaria de categorías especiales de datos.

3. Categorías de datos personales tratados por el ENCARGADO:

  1. Empleados del RESPONSABLE.

  2. Clientes, potenciales clientes, empleados de los mismos, contactos o usuarios finales del RESPONSABLE.

4. Tipología de tratamiento realizado

El Encargo implicará los siguientes procesamientos realizados de datos personales:

  1. Almacenamiento y conservación de datos, registro, recuperación e introducción de datos.

  2. Acceso y consulta de información

  3. Grabación de voz.

  4. Procesamiento de información mediante IA.

  5. Trascripción de audio mediante IA.

  6. Análisis semántico del texto.

  7. Análisis y procesamiento de datos

  8. Integración con plataformas de IA o sistemas de terceros

  9. Anonimización o seudonimización de datos.

  10. Eliminación o destrucción de datos.

  11. Actualización de los datos, incluyendo su corrección, adaptación, alteración, alineación y combinación.

5. Medidas de seguridad

Categoría | Medida de seguridad implementada

Medidas organizativas

  • Evaluaciones periódicas de seguridad.

  • Procesos seguros y automatizados (CI/CD).

Medidas técnicas

  • Cifrado de datos en reposo y tránsito.

  • Tokens de sesión.

  • Escaneo antivirus.

  • Protección contra ataques (inyección, XSS, SSRF).

Medidas de control de acceso

  • Autenticación por proveedores confiables y OTP.

  • Autorización por roles (OpenFGA).

  • 2FA en interfaces administrativas.

Medidas de continuidad y recuperación

  • Despliegues automatizados con recuperación <10 min.

  • Monitorización y verificación de configuraciones.

  • Copias de seguridad periódicas.

6. Subencargados del tratamiento autorizados

Proveedor/Subencargado
Servicio prestado
Ubicación
Transferencias internacionales

Bunny.net

CDN y almacenamiento de vídeos

UE

N/A

Google Cloud

Infraestructura en la nube / IA

UE

N/A

Vercel

Hosting y despliegue

UE

N/A

Hyperdoc

Grabación de reuniones

UE

N/A

Crisp

Chat en vivo

UE

N/A

Nylas

API correo y calendario

UE

N/A

Hookdeck

Gestión de webhooks

UE

N/A

Supabase

Base de datos

UE

N/A

AWS

Backup e infraestructura adicional

UE

N/A

Auth0

Autenticación y autorización

UE

N/A

Stripe

Procesamiento de pagos

UE

N/A

Resend

Envío de correos

UE

N/A

DigitalOcean

Infraestructura en la nube

UE

N/A

Posthog

Análisis de uso

UE

N/A

Datadog

Monitorización y logs

UE

N/A

Replicate

Modelos de IA

US

Cláusulas Contractuales Tipo

Elevenlabs

Modelos de IA Conversacional

UE

N/A

Twilio

VoIP y comunicación

US

Cláusulas Contractuales Tipo

AnteriorPolítica de privacidadSiguienteSeguridad

Última actualización