Acuerdo de Encargado del Tratamiento (DPA)

Última actualización: 29 de abril de 2026

Versión: 1.0

⚠️ Lectura previa importante

Este Acuerdo regula el tratamiento de datos personales que el Cliente (Responsable del Tratamiento) encarga a RespondeYA (Encargado del Tratamiento) en el marco del Servicio contratado.

Es de obligatorio cumplimiento según el Art. 28 RGPD para servicios B2B donde el proveedor procesa datos personales en nombre del cliente.

Este documento se considera automáticamente aceptado al contratar el Servicio y es parte indivisible de los Términos y Condiciones.

1. Partes

Responsable del Tratamiento ("Cliente")

La persona física o jurídica que ha contratado el Servicio RespondeYA, identificada con los datos facilitados durante la contratación.

Encargado del Tratamiento ("RespondeYA")

Identidad: Xavier Julià Giménez
NIF: 77114546P
Régimen: Trabajador autónomo
Domicilio: C. Sant Tomàs, 10, 08730 Santa Margarida i els Monjos, Barcelona
Email: privacidad@respondeya.es
Teléfono: +34 686 37 36 15

2. Objeto del encargo

El Cliente encarga a RespondeYA el tratamiento de datos personales necesarios para la prestación del Servicio, conforme a los términos del contrato principal y este DPA.

3. Naturaleza, finalidad y duración del tratamiento

Aspecto	Descripción
Naturaleza	Tratamiento automatizado de datos personales mediante plataforma SaaS de chat IA
Finalidad	Prestación del Servicio contratado: procesar conversaciones, capturar leads, almacenarlos
Duración	Mientras dure la relación contractual + plazos legales aplicables

4. Categorías de interesados

Los datos personales tratados se refieren a las siguientes categorías de personas:

Visitantes del sitio web del Cliente: usuarios finales que interactúan con el Agente embebido en la web del Cliente
Leads: visitantes que voluntariamente facilitan datos de contacto durante la conversación
Empleados/contactos del Cliente: personas autorizadas por el Cliente para acceder al portal de gestión

5. Categorías de datos personales

Los datos tratados pueden incluir:

Categoría	Ejemplos
Identificativos básicos	Nombre, apellidos (si el Visitante los facilita)
Contacto	Email, teléfono (si el Visitante los facilita)
Conversación	Texto de los mensajes intercambiados, idioma, sesión
Técnicos	Dirección IP, tipo de navegador, fecha/hora
Comerciales	Productos/servicios consultados, intención de compra

⚠️ NO se tratarán datos especiales (Art. 9 RGPD: salud, ideología, religión, origen racial, orientación sexual, datos biométricos) salvo autorización expresa por escrito del Responsable, quien deberá garantizar que dispone de base legal adecuada (Art. 9.2 RGPD).

⚠️ NO se tratarán datos de menores de 14 años. El Cliente garantiza que su Servicio no se dirige a menores y, si detecta que un menor ha interactuado, procederá a su eliminación inmediata.

6. Obligaciones del Encargado (RespondeYA)

RespondeYA se compromete a:

6.1 Tratamiento conforme a instrucciones

Tratar los datos únicamente siguiendo las instrucciones documentadas del Responsable y conforme al contrato principal y este DPA. Cualquier instrucción adicional debe constar por escrito.

Si recibe una instrucción que considere infringe el RGPD, lo notificará inmediatamente al Responsable.

6.2 Confidencialidad

Garantizar que las personas autorizadas para tratar los datos:

Se han comprometido formalmente a respetar la confidencialidad
Han recibido formación adecuada en protección de datos
Solo acceden a los datos estrictamente necesarios para sus funciones

6.3 Medidas de seguridad

Aplicar las medidas técnicas y organizativas apropiadas previstas en el Art. 32 RGPD, incluyendo:

Cifrado

TLS 1.2+ para datos en tránsito
AES-256 para datos en reposo
Tokens criptográficos seudoaleatorios para sesiones

Confidencialidad

Control de acceso basado en roles
Autenticación multifactor para personal interno
Audit log de operaciones administrativas
Magic links de un solo uso para clientes

Integridad

Backups diarios cifrados
Verificación de integridad mediante hashes
Inmutabilidad de logs críticos

Disponibilidad

Redundancia geográfica de la infraestructura
Plan de continuidad y recuperación ante desastres
Monitorización 24/7 de servicios críticos

Resiliencia

Pruebas periódicas de penetración
Auditorías internas regulares
Auditoría externa de seguridad realizada en abril 2026 con resolución de vulnerabilidades identificadas

6.4 Subencargados

El Cliente autoriza expresamente al Encargado a subcontratar el tratamiento con los siguientes subencargados:

Subencargado	Servicio	Localización	Garantías
OpenAI Ireland Ltd.	Modelos de IA generativa	UE + EEUU	DPA + CCT UE
Stripe Payments Europe Ltd.	Procesamiento pagos	UE + EEUU	DPA + CCT UE
Supabase Inc.	Base de datos PostgreSQL	EEUU (servidores en eu-west-1)	DPA + CCT UE
Resend	Envío de emails transaccionales	EEUU	DPA + CCT UE
Render Inc.	Hosting backend	EEUU (servidores en Frankfurt)	DPA + CCT UE
Vercel Inc.	Hosting frontend portal	EEUU + CDN global	DPA + CCT UE
Cloudflare Inc.	CDN y WAF	EEUU + UE	DPA + CCT UE
Make.com (Celonis SE)	Automatizaciones internas	República Checa (UE)	DPA UE
Base44	Apps administrativas internas	EEUU	DPA + CCT UE
Nominalia (Dada SpA)	Email empresarial	Italia (UE)	DPA UE

Nuevos subencargados

Si RespondeYA prevé añadir un nuevo subencargado, lo notificará al Cliente con 15 días de antelación por email. Durante ese plazo, el Cliente puede oponerse motivadamente. Si lo hace, RespondeYA buscará alternativa o, en su defecto, ambas partes podrán resolver el contrato.

6.5 Asistencia al Responsable

RespondeYA asistirá al Cliente, en la medida de lo posible, mediante medidas técnicas y organizativas apropiadas:

En la atención a derechos de los interesados (acceso, rectificación, supresión, etc.)
En el cumplimiento de obligaciones de seguridad (Art. 32)
En notificación de brechas (Art. 33-34)
En evaluaciones de impacto (Art. 35) y consultas previas (Art. 36)

6.6 Notificación de brechas

RespondeYA comunicará al Cliente cualquier brecha de seguridad de la que tenga conocimiento sin dilación indebida y, en cualquier caso, antes de las 72 horas, incluyendo:

Naturaleza de la brecha
Categorías y volumen aproximado de datos afectados
Posibles consecuencias
Medidas adoptadas o propuestas

6.7 Devolución o eliminación de datos al finalizar

Tras la finalización del contrato:

Durante 30 días: el Cliente puede exportar todos sus datos (conversaciones, leads, configuración)
Pasados los 30 días: RespondeYA eliminará los datos personales de forma segura
Datos de facturación: conservados 6 años por obligación legal
Datos para defensa de reclamaciones: conservados durante el plazo de prescripción

El Cliente puede solicitar certificado de destrucción mediante email a privacidad@respondeya.es.

6.8 Disponibilidad de información

RespondeYA pondrá a disposición del Cliente toda la información necesaria para demostrar el cumplimiento de las obligaciones del Art. 28 RGPD, incluyendo:

Permitir auditorías documentales (mediante cuestionario remoto)
Facilitar copia de DPAs con subencargados (si lo solicita)
Notificar resultados de auditorías de seguridad realizadas

7. Obligaciones del Responsable (Cliente)

El Cliente, como Responsable del Tratamiento, declara y se compromete a:

7.1 Base legal

Disponer de base legal válida para el tratamiento de datos de los Visitantes (consentimiento explícito, interés legítimo demostrable, ejecución contractual, etc.).

7.2 Información a interesados

Cumplir con las obligaciones de información del Art. 13 RGPD frente a sus Visitantes:

Publicar política de privacidad propia en su sitio web
Mencionar el uso de RespondeYA como encargado del tratamiento
Configurar banner de cookies adecuado
Informar visiblemente del uso de IA en el chat

7.3 Atención a derechos

Atender en plazo los derechos de los Visitantes (acceso, rectificación, supresión, etc.) conforme al RGPD. RespondeYA proporcionará herramientas técnicas para facilitar esta atención.

7.4 No tratamiento de datos especiales

NO cargar en el Agente ni recoger mediante él datos especiales (Art. 9 RGPD) salvo autorización expresa de este Encargado y disponiendo de base legal específica.

7.5 Configuración correcta

Configurar adecuadamente el Agente para que NO recoja datos personales innecesarios y respete el principio de minimización de datos.

7.6 Indemnización

Indemnizar a RespondeYA frente a sanciones, reclamaciones o pérdidas derivadas del incumplimiento por el Cliente de sus obligaciones como Responsable.

8. Transferencias internacionales

Algunas transferencias se realizan a EEUU. Las garantías son:

Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión Europea (Decisión 2021/914)
Data Privacy Framework EU-US cuando aplique al subencargado
DPAs específicos firmados con cada subencargado
Medidas técnicas suplementarias: cifrado en tránsito y reposo

El Cliente acepta estas transferencias como necesarias para la prestación del Servicio.

9. Responsabilidad

9.1 Limitación

Conforme al contrato principal, la responsabilidad de RespondeYA está limitada en los términos previstos en los Términos y Condiciones (cantidad facturada en los 12 meses anteriores).

9.2 Sanciones administrativas

Si una autoridad de control (AEPD, APDCAT, etc.) impone sanción a alguna parte:

Si la sanción deriva de incumplimiento atribuible al Encargado: RespondeYA asume la sanción
Si deriva de incumplimiento atribuible al Responsable: el Cliente asume la sanción
Si deriva de incumplimiento conjunto: cada parte asume la proporción correspondiente

10. Vigencia y modificaciones

10.1 Vigencia

Este DPA está vigente mientras dure el contrato principal y permanece aplicable a los datos que se conserven tras la finalización (durante los plazos legales de retención).

10.2 Modificaciones

RespondeYA puede modificar este DPA para:

Adaptarlo a cambios normativos
Añadir nuevos subencargados (con preaviso de 15 días)
Mejorar las medidas de seguridad

Las modificaciones sustanciales se notificarán por email con 30 días de antelación.

11. Legislación aplicable

Este DPA se rige por:

Reglamento (UE) 2016/679 (RGPD)
Ley Orgánica 3/2018 de Protección de Datos Personales y Garantías de los Derechos Digitales (LOPDGDD)
Legislación española complementaria

12. Resolución de conflictos

Conforme a los Términos y Condiciones del contrato principal: Juzgados y Tribunales de Vilafranca del Penedès (Barcelona) o, subsidiariamente, los de Barcelona capital.

ANEXO I — Medidas técnicas y organizativas (resumen)

Control de acceso

Autenticación con magic links de un solo uso (clientes)
API tokens y JWT (admin)
Audit log de operaciones administrativas
Revocación automática de sesiones tras cancelación

Cifrado

TLS 1.2+ en todas las comunicaciones
AES-256 en reposo (proveedor cloud)
Hashing de contraseñas (no almacenamos contraseñas planas)

Disponibilidad

Redundancia de infraestructura
Backups diarios
Monitorización 24/7
Plan de continuidad y recuperación

Seguridad aplicación

Helmet (security headers)
Rate limiting contra ataques automatizados
CORS estricto
Sanitización de inputs
Firma criptográfica de webhooks
Atomicidad de operaciones críticas

Auditoría

Auditoría de seguridad realizada en abril 2026
Vulnerabilidades críticas/altas resueltas antes del despliegue público
Triple verificación cruzada (Claude AI + ChatGPT + verificación con tools privilegiadas)
Plan de auditorías periódicas anuales

Personal

Acceso por necesidad estricta (need-to-know)
Formación en privacidad y seguridad
Acuerdos de confidencialidad
Auditoría de accesos privilegiados

ANEXO II — Procedimiento de contacto para temas de privacidad

Solicitud	Email	Plazo de respuesta
Ejercicio de derechos del Visitante	privacidad@respondeya.es	30 días naturales
Notificación de brecha	privacidad@respondeya.es	72 horas
Solicitud de información sobre subencargados	privacidad@respondeya.es	15 días hábiles
Solicitud de auditoría	privacidad@respondeya.es	A convenir
Modificación contractual	legal@respondeya.es	15 días hábiles

Documento generado el 29 de abril de 2026 — versión 1.0