Contrato de Encargado del Tratamiento (DPA)

Tratamiento de datos por cuenta del Cliente · Art.28 RGPD

Última revisión: 22/06/2026Versión: 1.0

Este documento tiene carácter informativo. No constituye asesoramiento jurídico. Para su interpretación aplicada a tu situación concreta, consulta con un profesional.

Versiónv1.0
Fecha19/05/2026
Base legalArt.28 Reglamento (UE) 2016/679 (RGPD)
DocumentoContractual · vincula a las Partes desde su aceptación
AceptaciónClick-through en onboarding del Servicio o firma electrónica

© 2026 Alethexis · AI Governance & Compliance Framework for SMEs™ · Documento contractual. Basado en Reg.(UE) 2016/679 (RGPD). No constituye asesoramiento jurídico al Cliente sobre sus obligaciones como Responsable; el Cliente debe valorar la idoneidad de este DPA en relación con su propio tratamiento.

1. Partes y antecedentes

1.1 Las Partes

Responsable del Tratamiento (en adelante, el «Cliente»):

La persona física o jurídica que contrata el Servicio Alethexis, cuyos datos identificativos completos quedan recogidos en el formulario de alta y reflejados en la cuenta del Servicio. Para los efectos del presente Contrato, el Cliente actúa como Responsable del Tratamiento en los términos del Art.4.7 RGPD.

Encargado del Tratamiento (en adelante, «Alethexis» o el «Encargado»):

ALETHEXIS, S.L. (CIF B88758057 · domicilio social en C/ Tirso de Molina 36, 08940 Cornellà de Llobregat, Barcelona · CNAE 6201), representada por su administrador único Rafael Luque, operadora del Servicio comercializado bajo la marca Alethexis — AI Governance & Compliance Framework for SMEs™. Punto de contacto en materia de privacidad: [email protected]. Para los efectos del presente Contrato, Alethexis actúa como Encargado del Tratamiento en los términos del Art.4.8 RGPD.

1.2 Antecedentes

I. El Cliente ha contratado el Servicio Alethexis, una aplicación SaaS de gobernanza y cumplimiento de inteligencia artificial y RGPD destinada a PYMEs europeas (en adelante, el «Servicio»), conforme a los términos de servicio publicados y al plan suscrito.

II. La operación del Servicio implica que Alethexis trate datos personales por cuenta del Cliente, lo que configura una relación de encargo del tratamiento sujeta al Art.28 RGPD.

III. Las Partes desean documentar dicho encargo mediante el presente Contrato de Encargado del Tratamiento (en adelante, «DPA» o «Contrato»), que se integra y forma parte indivisible de los términos de servicio.

IV. En caso de contradicción entre el presente DPA y los términos de servicio en materia de protección de datos personales, prevalecerá lo dispuesto en este DPA.

2. Definiciones

A los efectos del presente DPA, los términos en mayúscula tendrán el significado que se indica a continuación. Los términos no definidos aquí se interpretarán conforme al RGPD.

TérminoDefinición
Datos PersonalesToda información sobre una persona física identificada o identificable, conforme al Art.4.1 RGPD, que el Cliente trate a través del Servicio.
TratamientoCualquier operación o conjunto de operaciones sobre Datos Personales, conforme al Art.4.2 RGPD.
InteresadoLa persona física a la que se refieren los Datos Personales (Art.4.1 RGPD). En este DPA, los Interesados son las personas físicas cuyos datos son tratados por el Cliente a través del Servicio.
ResponsableEl Cliente, conforme al Art.4.7 RGPD.
EncargadoAlethexis, conforme al Art.4.8 RGPD.
SubencargadoEl tercero contratado por Alethexis que trate Datos Personales por cuenta de Alethexis en el marco de la prestación del Servicio (Art.28.4 RGPD). La lista actualizada figura en el Anexo II.
Brecha de SeguridadToda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de Datos Personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos (Art.4.12 RGPD).
ServicioLa aplicación SaaS Alethexis y sus componentes, incluidos los módulos M1 (Visibilidad), M2 (Gobernanza), M3 (High-Risk Ready) y cualesquiera módulos o complementos adicionales contratados por el Cliente.
UsuarioToda persona física autorizada por el Cliente para acceder al Servicio, asignada a uno de los cinco roles canónicos: Owner, AI Officer, DPO, Contributor o Auditor.
Datos de CuentaDatos identificativos del Cliente y de sus Usuarios necesarios para la prestación del Servicio (nombre, email, cargo, organización). Respecto de éstos, Alethexis actúa como Responsable independiente, no como Encargado, según se detalla en la política de privacidad pública.
Datos SustantivosDatos que el Cliente introduce, importa o genera dentro del Servicio en el marco de su tratamiento como Responsable (inventarios de sistemas IA, FRIAs, DPIAs, evidencias, etc.). Sobre estos datos Alethexis actúa como Encargado, y son el objeto de este DPA.

3. Objeto del Contrato

3.1 Ámbito material

El presente DPA regula el tratamiento de los Datos Sustantivos que Alethexis realice, por cuenta y en interés del Cliente, exclusivamente en el marco de la prestación del Servicio Alethexis.

3.2 Exclusiones

Quedan fuera del ámbito de este DPA:

  • Los Datos de Cuenta del propio Cliente y de sus Usuarios, respecto de los cuales Alethexis actúa como Responsable independiente conforme se documenta en su política de privacidad pública.
  • Los datos personales tratados por el Cliente fuera del Servicio.
  • Los datos personales que el Cliente decida no introducir en el Servicio.

3.3 Subordinación

El tratamiento realizado por Alethexis en virtud de este DPA queda subordinado a las instrucciones documentadas del Cliente, recogidas en este Contrato, en los términos de servicio y en la configuración funcional del Servicio.

4. Naturaleza, finalidad y duración del tratamiento

4.1 Naturaleza y finalidad

El tratamiento tiene por objeto permitir al Cliente operar el Servicio Alethexis con la finalidad de ejercer su gobernanza de IA y diligencia RGPD: registro de sistemas IA, clasificación P0–P6, evaluaciones FRIA, DPIA, publicación de política, generación de evidencias y demás funcionalidades contratadas. Los detalles operativos del tratamiento figuran en el Anexo I.

4.2 Duración

El presente DPA estará en vigor mientras lo esté el contrato de suscripción al Servicio entre las Partes y, en todo caso, hasta que se complete el procedimiento de devolución o supresión previsto en la cláusula 10.

4.3 Finalidades no autorizadas

Alethexis se obliga a no tratar los Datos Sustantivos para ninguna finalidad distinta de la prestación del Servicio. En particular, Alethexis declara expresamente que no vende los Datos Sustantivos, no los cede a terceros para sus fines propios, no los utiliza para entrenar modelos de inteligencia artificial propios o de terceros y no realiza profiling sobre ellos.

5. Tipos de Datos Personales y categorías de Interesados

El detalle de los tipos de Datos Personales tratados y las categorías de Interesados afectados figura en el Anexo I.

A título orientativo y sin carácter exhaustivo, los Interesados pueden incluir empleados, candidatos, pacientes, clientes finales y demás personas físicas cuyos datos el Cliente decida incorporar al Servicio en sus inventarios, FRIAs o DPIAs. Los Datos Personales pueden incluir, si el Cliente así lo decide, categorías especiales del Art.9 RGPD (por ejemplo, datos de salud en sectores como el dental). El Cliente es el único responsable de la legitimación, base jurídica y proporcionalidad de los datos que introduce en el Servicio.

6. Obligaciones del Encargado (Art.28.3 RGPD)

Alethexis, en su condición de Encargado, asume las obligaciones previstas en el Art.28.3 RGPD, conforme se desarrolla a continuación.

6.1 Tratamiento únicamente bajo instrucciones documentadas (Art.28.3.a)

Alethexis tratará los Datos Personales únicamente siguiendo las instrucciones documentadas del Cliente, incluidas las relativas a transferencias internacionales, salvo que el Derecho de la Unión o del Estado miembro le obligue a otra cosa, en cuyo caso informará al Cliente de tal exigencia legal antes del tratamiento, salvo que dicho Derecho lo prohíba por motivos de interés público.

Constituyen instrucciones documentadas:

  • El presente DPA y sus Anexos.
  • Los términos de servicio aceptados por el Cliente.
  • Las configuraciones aplicadas por el Cliente o sus Usuarios autorizados dentro del Servicio.
  • Las instrucciones escritas adicionales que el Cliente pueda enviar a [email protected].

Si Alethexis considera que una instrucción infringe el RGPD u otra normativa aplicable de protección de datos, informará al Cliente sin dilación.

6.2 Confidencialidad del personal (Art.28.3.b)

Alethexis garantizará que las personas autorizadas para tratar Datos Personales:

  • Se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación legal de confidencialidad equivalente.
  • Reciban formación adecuada en materia de protección de datos y seguridad de la información.
  • Accedan a los Datos Personales únicamente cuando sea necesario para la prestación del Servicio (principio de mínimo privilegio).

Esta obligación se extiende al propio operador del Servicio y a cualquier futuro miembro del equipo, formalizándose mediante NDA y compromiso documentado.

6.3 Medidas de seguridad (Art.28.3.c y Art.32)

Alethexis aplicará las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, conforme al Art.32 RGPD. El detalle de estas medidas figura en el Anexo III, que es parte integrante del presente DPA y podrá ser actualizado para reflejar mejoras técnicas, sin que dichas actualizaciones puedan reducir el nivel de protección.

6.4 Subencargados (Art.28.3.d, Art.28.2 y Art.28.4)

El Cliente concede a Alethexis una autorización general previa para contratar Subencargados, conforme al Art.28.2 RGPD. La lista actualizada de Subencargados autorizados figura en el Anexo II.

Alethexis se obliga a:

  • Imponer a cada Subencargado, mediante contrato u otro acto jurídico vinculante, las mismas obligaciones de protección de datos que las contenidas en este DPA, en particular las relativas a las medidas de seguridad y a la finalidad limitada.
  • Mantener actualizada y públicamente accesible la lista de Subencargados en alethexis.com/legal/subprocessors.
  • Notificar al Cliente con al menos 30 días de antelación cualquier alta, baja o sustitución de un Subencargado, mediante email a la dirección de contacto del Cliente y aviso visible en el Servicio.
  • Reconocer al Cliente el derecho a oponerse motivadamente a la incorporación de un nuevo Subencargado dentro de los 30 días siguientes a la notificación. En caso de oposición razonable, las Partes negociarán de buena fe una solución alternativa. Si no fuera posible, el Cliente podrá resolver el contrato de suscripción al Servicio sin penalización por la parte no consumida.
  • Responder del cumplimiento de las obligaciones de protección de datos por parte de sus Subencargados frente al Cliente.

6.5 Asistencia en el ejercicio de derechos de los Interesados (Art.28.3.e)

Alethexis asistirá al Cliente, mediante medidas técnicas y organizativas apropiadas y en la medida de lo posible, para responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los Interesados (acceso, rectificación, supresión, limitación, portabilidad, oposición y decisiones automatizadas individualizadas — Arts.15 a 22 RGPD).

A tal efecto, el Servicio incorpora funcionalidades de autoservicio que permiten al Cliente:

  • Acceder y editar los Datos Sustantivos directamente.
  • Exportar los datos en formatos estructurados (JSON, CSV) y, cuando aplique, los PDFs generados por el Servicio.
  • Suprimir datos por sí mismo a través de la interfaz, sin necesidad de intervención de Alethexis.

Cuando la asistencia requiera intervención técnica directa de Alethexis (por ejemplo, exports complejos o supresiones masivas que excedan la funcionalidad de autoservicio), el Cliente podrá solicitarla a [email protected]. La obligación de atender en primera instancia las solicitudes de los Interesados corresponde al Cliente como Responsable; Alethexis no contesta directamente al Interesado salvo instrucción documentada del Cliente.

6.6 Asistencia en seguridad, brechas, DPIA y consulta previa (Art.28.3.f, Arts.32-36)

Alethexis asistirá al Cliente en el cumplimiento de las obligaciones que incumben al Responsable en virtud de los Arts.32 a 36 RGPD, teniendo en cuenta la naturaleza del tratamiento y la información de la que disponga. En particular:

  • Pondrá a disposición del Cliente la información del Anexo III (medidas de seguridad) y, mediante el Trust Center público (alethexis.com/trust), información actualizada sobre su postura de seguridad.
  • Notificará al Cliente las Brechas de Seguridad conforme a la cláusula 8.
  • Cuando el Cliente realice una DPIA (Art.35 RGPD) o una consulta previa (Art.36 RGPD) relativa a un tratamiento que incluya el uso del Servicio, Alethexis facilitará razonablemente la información técnica y organizativa necesaria sobre el tratamiento que Alethexis realiza en su calidad de Encargado.

Esta asistencia es proporcional al rol de Encargado y no sustituye las obligaciones propias del Cliente como Responsable, en particular las relativas a la determinación de la base jurídica, la información a los Interesados y la respuesta sustantiva a los derechos.

6.7 Devolución o supresión al fin de la prestación (Art.28.3.g)

Al término de la prestación del Servicio, Alethexis devolverá los Datos Personales al Cliente o los suprimirá, conforme se detalla en la cláusula 10 y respetando la política de borrado escalonada en cinco niveles allí descrita.

6.8 Información para demostrar cumplimiento y auditorías (Art.28.3.h)

Alethexis pondrá a disposición del Cliente toda la información necesaria para demostrar el cumplimiento de las obligaciones del Art.28 RGPD y permitirá y contribuirá a auditorías, incluidas inspecciones, conforme a la cláusula 9. Si Alethexis considera que una instrucción del Cliente en este ámbito infringe el RGPD u otra normativa, lo comunicará inmediatamente al Cliente.

7. Subencargados autorizados

La lista completa de Subencargados autorizados, sus funciones, ubicaciones y mecanismos de garantía figura en el Anexo II.

7.1 Procedimiento de notificación de cambios

  • Toda alta, baja o sustitución de un Subencargado se notificará al Cliente con al menos 30 días de antelación natural, mediante email a la dirección de contacto registrada en la cuenta del Cliente y mediante aviso visible en el Servicio.
  • La lista pública de Subencargados se actualizará simultáneamente en alethexis.com/legal/subprocessors.

7.2 Derecho de oposición del Responsable

  • El Cliente podrá oponerse motivadamente a la incorporación de un nuevo Subencargado dentro de los 30 días siguientes a la notificación, mediante comunicación escrita a [email protected].
  • En caso de oposición razonable, las Partes negociarán de buena fe durante un periodo de hasta 30 días una solución alternativa (por ejemplo, configuración del Servicio que evite el Subencargado objetado o sustitución por otro proveedor).
  • Si no se alcanza acuerdo, el Cliente podrá resolver anticipadamente el contrato de suscripción al Servicio mediante preaviso por escrito, con derecho al reembolso proporcional de la parte no consumida del plan suscrito.

7.3 Subencargados no aplicables a Datos Sustantivos

Determinados terceros utilizados por Alethexis (en particular GitHub para el repositorio de código y Anthropic para asistencia al desarrollo con Claude Code) no acceden a Datos Sustantivos del Cliente. Esta separación es estructural y no contractual, y por ese motivo no se incluyen como Subencargados en el ámbito de este DPA.

8. Brechas de seguridad

8.1 Detección y contención

Alethexis cuenta con procedimientos internos de detección, contención y respuesta ante Brechas de Seguridad, documentados en su SECURITY_RUNBOOK.md interno y aplicados de forma continua.

8.2 Notificación al Cliente

Alethexis notificará al Cliente sin dilación indebida y, en cualquier caso, dentro de las 24 horas siguientes al conocimiento efectivo de una Brecha de Seguridad que afecte a los Datos Sustantivos del Cliente. La notificación se realizará por email a la dirección de contacto registrada en la cuenta del Cliente y, cuando proceda, mediante aviso en el Servicio.

8.3 Contenido de la notificación

La notificación incluirá, en la medida de lo disponible en el momento del aviso, los elementos previstos en el Art.33.3 RGPD:

  • Naturaleza de la Brecha y, cuando sea posible, categorías y número aproximado de Interesados y de registros afectados.
  • Datos del punto de contacto en Alethexis para obtener más información.
  • Consecuencias probables de la Brecha.
  • Medidas adoptadas o propuestas para poner remedio a la Brecha y, en su caso, mitigar sus posibles efectos negativos.

Si en el momento de la notificación inicial no se dispone de toda la información, Alethexis remitirá actualizaciones sucesivas conforme avance la investigación.

8.4 Notificación a autoridades e Interesados

La notificación a la autoridad de control competente (en España, la AEPD) conforme al Art.33 RGPD y, en su caso, la comunicación a los Interesados conforme al Art.34 RGPD, corresponden al Cliente como Responsable. Alethexis asistirá al Cliente facilitando la información disponible y respondiendo razonablemente a las solicitudes adicionales del Cliente y, en su caso, de la autoridad.

8.5 Conservación de evidencias

Alethexis conservará durante un mínimo de 5 años las evidencias relativas a Brechas detectadas y notificadas, así como los análisis post-mortem y las medidas correctoras aplicadas, con fines defensivos y de mejora continua.

9. Auditorías

9.1 Derecho de auditoría del Cliente

El Cliente, como Responsable, tiene derecho a verificar el cumplimiento por parte de Alethexis de las obligaciones del Art.28 RGPD y de este DPA, mediante:

  • Solicitud de información dirigida a [email protected], que Alethexis atenderá en un plazo razonable.
  • Consulta del Trust Center público (alethexis.com/trust), que incluye información actualizada sobre subprocesadores, medidas de seguridad y certificaciones o adhesiones aplicables, en su caso.
  • Cuando proceda, auditoría in situ o remota en los términos de las cláusulas 9.2 a 9.5.

9.2 Frecuencia y preaviso

Salvo que exista una causa razonable que lo justifique (por ejemplo, una Brecha de Seguridad relevante o un requerimiento de autoridad), el derecho de auditoría se ejercerá:

  • Con un máximo de una auditoría por año natural.
  • Con un preaviso por escrito de al menos 30 días naturales.
  • Durante horario laboral habitual y de forma que no interfiera de manera no razonable con la operación del Servicio.

9.3 Auditor

El Cliente podrá realizar la auditoría por sí mismo o a través de un auditor independiente cualificado, que en ningún caso podrá ser un competidor directo de Alethexis. El auditor firmará previamente un acuerdo de confidencialidad (NDA) con Alethexis.

9.4 Alcance

La auditoría se limitará a verificar el cumplimiento de las obligaciones derivadas de este DPA y del Art.28 RGPD. Quedan excluidos: el código fuente propietario, los datos de otros clientes, los secretos comerciales no relacionados con el tratamiento y cualquier información cuya divulgación pudiera comprometer la seguridad del Servicio.

9.5 Coste

Los costes de la auditoría serán de cuenta del Cliente, salvo que la auditoría revele incumplimientos sustanciales imputables a Alethexis, en cuyo caso éste asumirá los costes razonables y directamente relacionados con la auditoría.

9.6 Auditorías de autoridad

Lo anterior se entiende sin perjuicio de las facultades de inspección y auditoría que correspondan a la AEPD, la AESIA u otras autoridades competentes. Alethexis colaborará lealmente con dichas autoridades y mantendrá informado al Cliente, en la medida en que legalmente sea posible.

10. Devolución o supresión al fin de la prestación

10.1 Política de borrado escalonada en cinco niveles

Al término de la prestación del Servicio, ya sea por terminación del contrato, supresión solicitada por el Cliente o por cualquier otra causa, Alethexis aplicará la siguiente política de borrado escalonada, alineada con el Art.17 RGPD y con las obligaciones mercantiles y de defensa documental aplicables:

NivelDatosTratamiento al fin de la prestación
1Datos personales identificativos de Usuarios (nombre, email, teléfono)Eliminados o pseudonimizados mediante hash irreversible en un plazo máximo de 30 días desde la solicitud verificada.
2Evidencias de cumplimiento del Cliente (FRIA, DPIA, política, RACI, PDFs firmados, registros de incidentes, decisiones)Se ofrece export completo al Owner del Cliente antes de la supresión. Tras export confirmado, se eliminan del sistema activo. La custodia post-export pasa al Cliente.
3Facturas y registros legalmente exigibles (Holded)Conservados ≥ 6 años conforme al Art.30 CCom y normativa fiscal aplicable. Base legal: Art.17.3.b RGPD (obligación legal). No se eliminan aunque el Cliente solicite Art.17.
4Audit logs (audit.access_log)Pseudonimizados (hash irreversible de user_id, conservación de account_id y evento) con retención de 5 años para defensa ante inspección (AEPD, AESIA u otras).
5BackupsRolling 30 días. Los datos eliminados desaparecen naturalmente del backup en un plazo ≤ 30 días tras la supresión. No se realizan restauraciones selectivas que pudieran reintroducir datos ya eliminados.

10.2 Comunicación de cierre

Al cierre del proceso, el Owner del Cliente recibirá un email de confirmación que incluirá:

  • Hash del export entregado (prueba de entrega).
  • Resumen de qué datos se conservan, en qué soporte y con qué base legal.
  • Calendario aproximado de purga del backup.

10.3 Período de gracia

Tras la cancelación del contrato y antes de iniciar el procedimiento de supresión, Alethexis aplicará un período de gracia de 30 días durante el cual el Cliente podrá:

  • Realizar el export final de sus datos por sí mismo desde el Servicio.
  • Reactivar la suscripción sin pérdida de datos.

Transcurrido dicho plazo sin reactivación, se iniciará la cascada de borrado descrita en 10.1.

10.4 Excepciones legales

Cuando el Derecho de la Unión o del Estado miembro exija la conservación de Datos Personales más allá de los plazos anteriores (por ejemplo, requerimientos judiciales, obligaciones fiscales), Alethexis lo comunicará al Cliente y conservará los datos estrictamente necesarios durante el periodo legalmente exigido.

11. Transferencias internacionales

11.1 Régimen general

En la versión actual del Servicio (Ola 1), Alethexis ha configurado su infraestructura para que todas las operaciones de tratamiento de Datos Sustantivos se realicen dentro del Espacio Económico Europeo (EEE):

  • Base de datos, autenticación, almacenamiento y funciones serverless: Supabase eu-central-1 (Frankfurt).
  • Hosting frontend: Vercel con configuración EU (Frankfurt como región primaria).
  • Email transaccional: Resend con configuración EU.
  • Monitorización de errores: Sentry con región EU (Frankfurt).
  • Facturación: Holded (España).
  • Pagos: Stripe Payments Europe Limited (Irlanda).

11.2 Transferencias futuras

Si en el futuro se incorporase un Subencargado o se realizara un tratamiento que implique transferencia de Datos Sustantivos fuera del EEE, Alethexis:

  • Aplicará uno de los mecanismos de garantía previstos en el Capítulo V del RGPD (Arts.44 a 49), preferentemente las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (Art.46.2.c RGPD) acompañadas de las medidas suplementarias que resulten necesarias conforme a la jurisprudencia aplicable (entre otras, Schrems II).
  • Lo notificará al Cliente conforme al procedimiento de modificación de Subencargados (cláusula 7.1).
  • Pondrá a disposición del Cliente la documentación que acredite el mecanismo de garantía aplicado.

12. Responsabilidad y limitaciones

12.1 Distribución de responsabilidades

Cada Parte responderá de los daños causados como consecuencia del incumplimiento de las obligaciones que el RGPD y este DPA le atribuyen en su respectiva condición de Responsable o Encargado, en los términos del Art.82 RGPD.

12.2 Limitación proporcional al rol de Encargado

La responsabilidad de Alethexis frente al Cliente derivada del presente DPA se limita a los daños directamente imputables al incumplimiento por su parte de las obligaciones que le corresponden como Encargado. En particular, Alethexis no responde de:

  • Las decisiones del Cliente como Responsable (base jurídica del tratamiento, información a Interesados, atención sustantiva de sus derechos, cumplimiento del Art.5 RGPD).
  • La idoneidad o legalidad de los datos que el Cliente decide introducir en el Servicio.
  • Las consecuencias derivadas de instrucciones del Cliente cuyo cumplimiento por Alethexis sea conforme a este DPA, salvo que dichas instrucciones fueran manifiestamente ilícitas y Alethexis no las hubiera comunicado conforme a la cláusula 6.1.

12.3 Cuantía

Salvo en los supuestos de dolo o culpa grave, o cuando el Derecho aplicable no lo permita, la responsabilidad agregada de cada Parte frente a la otra en el marco de este DPA estará limitada conforme a lo previsto en los términos de servicio. Esta limitación no se aplica a las sanciones impuestas por una autoridad de control directamente a una de las Partes, ni a las indemnizaciones a Interesados resultantes de tales sanciones, que se regirán por el Art.82 RGPD.

12.4 Cooperación en defensa

Si un Interesado, autoridad o tercero reclama por hechos relacionados con el tratamiento objeto de este DPA, ambas Partes cooperarán de buena fe para coordinar la defensa y la respuesta, compartiendo la información razonablemente necesaria.

13. Vigencia, modificación, ley aplicable y jurisdicción

13.1 Vigencia

El presente DPA entrará en vigor en la fecha de su aceptación por el Cliente (click-through en el onboarding del Servicio o firma electrónica) y permanecerá vigente mientras lo esté el contrato de suscripción al Servicio entre las Partes, salvo que las cláusulas de devolución y supresión (cláusula 10) o de auditoría (cláusula 9) requieran su aplicación posterior.

13.2 Modificación

Alethexis podrá modificar el presente DPA en los siguientes supuestos:

  • Cambios legislativos o regulatorios que afecten al RGPD o normativa concordante.
  • Decisiones de las autoridades de control que requieran ajustes.
  • Mejoras en las medidas técnicas y organizativas que incrementen el nivel de protección.
  • Cambios en la lista de Subencargados, conforme al procedimiento de la cláusula 7.

Las modificaciones se notificarán al Cliente con un preaviso razonable, mínimo 30 días naturales cuando sea materialmente posible, mediante email y aviso en el Servicio. Si la modificación reduce sustancialmente el nivel de protección o introduce cambios que el Cliente razonablemente no pueda aceptar, el Cliente tendrá derecho a resolver el contrato de suscripción sin penalización.

13.3 Independencia de cláusulas

Si alguna disposición de este DPA es declarada nula o inaplicable, el resto del Contrato mantendrá su validez. Las Partes negociarán de buena fe una cláusula sustitutoria que refleje, en la medida de lo posible, la intención original.

13.4 Ley aplicable

El presente DPA se rige por la legislación española y por el Derecho de la Unión Europea aplicable, en particular el Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).

13.5 Jurisdicción

Las Partes se someten, con renuncia expresa a cualquier otro fuero que pudiera corresponderles, a los Juzgados y Tribunales de la ciudad de Barcelona (España) para la resolución de cualquier controversia derivada de este DPA, sin perjuicio de las competencias atribuidas por ley a la AEPD o a otras autoridades de control.

Anexo I · Detalles del tratamiento

A.I.1 Objeto del tratamiento

Tratamiento de Datos Personales por parte de Alethexis, por cuenta del Cliente, en el marco de la prestación del Servicio Alethexis (módulos M1 Visibilidad, M2 Gobernanza, M3 High-Risk Ready y, en su caso, Agentic Add-on).

A.I.2 Duración del tratamiento

Mientras esté vigente el contrato de suscripción al Servicio, más los plazos de devolución y conservación previstos en la cláusula 10 del DPA.

A.I.3 Naturaleza y finalidad

AspectoDetalle
NaturalezaTratamiento automatizado en plataforma SaaS multi-tenant con aislamiento por Row Level Security (RLS) por account_id.
Finalidad principalPermitir al Cliente operar las secciones funcionales del Servicio: inventario de sistemas IA, clasificación P0–P6, evaluaciones FRIA y DPIA, política de uso, gobernanza (comité, RACI, riesgos, decisiones, cambios, operaciones), evidencias y referencias.
Finalidades secundarias autorizadasGeneración de PDFs probatorios (Política, Comité, RACI, FRIA, DPIA), audit log inmutable, notificaciones del Servicio, soporte técnico previa autorización del Cliente.

A.I.4 Tipos de Datos Personales

Los siguientes tipos se incluyen a título orientativo. La determinación efectiva corresponde al Cliente.

CategoríaEjemplosOrigen
Datos identificativos de UsuariosNombre, apellidos, email profesional, cargo, rol asignadoAlta de usuarios por el Cliente
Datos identificativos de Interesados tercerosNombre, identificadores internos, datos de contactoIntroducidos por el Cliente en FRIA, DPIA, evidencias
Datos profesionalesDepartamento, puesto, organizaciónFRIA, DPIA, registros operativos
Datos sensibles · Art.9 RGPD (cuando proceda)Datos de salud (p. ej., sector dental), otros del Art.9 que el Cliente decida tratarDecisión del Cliente
Datos relativos a sistemas IAIdentificadores de proveedor, configuración, evaluaciones técnicas (no necesariamente personales en sí mismos, pero pueden estar asociados a Interesados)Configuración del Cliente
Audit logaccount_id, user_id, acción realizada, timestamp, metadatos de eventoGeneración automática por el Servicio

El Cliente se compromete a no introducir en el Servicio Datos Personales innecesarios para la finalidad declarada, conforme al principio de minimización del Art.5.1.c RGPD.

A.I.5 Categorías de Interesados

CategoríaDescripción
Usuarios del ClientePersonas físicas autorizadas por el Cliente para acceder al Servicio, en los cinco roles canónicos: Owner, AI Officer, DPO, Contributor, Auditor.
Empleados del ClientePersonas físicas cuyos datos puedan aparecer en los inventarios, evaluaciones FRIA, DPIA o evidencias que el Cliente registre en el Servicio (por ejemplo, empleados afectados por un sistema IA de recursos humanos).
CandidatosEn sistemas IA de selección u onboarding registrados por el Cliente.
Pacientes y/o clientes finalesCuando el Cliente registre sistemas IA que los traten (p. ej., clínicas dentales con sistemas de diagnóstico asistido).
Proveedores y contactos profesionalesCuando el Cliente registre datos relativos a proveedores GPAI u otros terceros en VIS-4 (due diligence).
Otras personas físicasCualesquiera otros Interesados cuyos datos el Cliente decida registrar dentro del Servicio.

A.I.6 Operaciones de tratamiento

Recogida, registro, organización, estructuración, conservación, adaptación, modificación, extracción, consulta, utilización, comunicación interna entre Subencargados conforme al Anexo II, alineación, restricción, supresión, destrucción y export.

A.I.7 Ubicación del tratamiento

Espacio Económico Europeo (EEE). Detalle por Subencargado en el Anexo II.

Anexo II · Lista de Subencargados autorizados

Versión: 1.0 · Fecha: 19/05/2026 · Actualización pública en alethexis.com/legal/subprocessors.

#SubencargadoDenominación legalUbicación principalFinalidad / Servicio prestadoMecanismo de garantía
1SupabaseSupabase Inc. (operación EU vía Supabase EU)Frankfurt (eu-central-1) · AlemaniaBase de datos PostgreSQL, autenticación, almacenamiento de ficheros, Edge Functions, monitorización de la base de datos. Trata todos los Datos Sustantivos del Cliente.DPA Supabase firmado · operación en el EEE.
2VercelVercel Inc.EU (FRA1 Frankfurt) con failover en otras regiones UEHosting del frontend Next.js y red edge. Procesa logs HTTP y metadatos de request; no almacena Datos Sustantivos.DPA Vercel firmado · Cláusulas Contractuales Tipo UE cuando proceda.
3Stripe Payments EuropeStripe Payments Europe LimitedIrlanda (Unión Europea)Procesamiento de pagos y suscripciones. Trata datos de pago y datos fiscales del Cliente. Actúa como subencargado independiente con responsabilidad propia sobre los datos de pago, conforme a su propio acuerdo de tratamiento.Stripe Data Processing Agreement · operación en el EEE.
4HoldedHolded Technologies, S.L.EspañaFacturación legal, secuencia oficial de facturas, integración contable. Trata datos fiscales del Cliente.DPA Holded firmado · operación en España.
5ResendResend (Plus Five Five, Inc.)EU (configuración EU disponible)Envío transaccional de email (notificaciones del Servicio, recuperación de contraseña, alertas). Trata dirección de email destinataria y contenido del email.DPA Resend firmado · Cláusulas Contractuales Tipo UE cuando proceda.
6SentryFunctional Software, Inc. (operación EU)EU (Frankfurt)Monitorización de errores. Trata stack traces con scrubbing automático de PII, metadatos del error y, en su caso, identificadores de Usuario pseudonimizados.DPA Sentry · configuración EU activa.

Notas:

  • La lista refleja el estado al 19/05/2026. La versión vigente se publica en alethexis.com/legal/subprocessors.
  • GitHub (repositorio de código) y Anthropic (asistencia al desarrollo con Claude Code) no acceden a Datos Sustantivos del Cliente y, por tanto, no se incluyen como Subencargados en este Anexo. La separación es estructural: GitHub almacena código fuente sin datos productivos y Anthropic sólo recibe prompts de desarrollo.
  • Cualquier alta, baja o sustitución se notificará al Cliente conforme a la cláusula 7 del DPA, con al menos 30 días naturales de antelación.

Anexo III · Medidas técnicas y organizativas (TOM · Art.32 RGPD)

Las siguientes medidas son las aplicadas en el momento de la firma del DPA. Pueden ser actualizadas para reflejar mejoras, sin que dichas actualizaciones puedan reducir el nivel de protección.

A.III.1 Cifrado

  • En tránsito: TLS 1.3 obligatorio en todas las conexiones con el Servicio y entre los Subencargados (Vercel, Supabase, Resend, Stripe, Holded, Sentry).
  • En reposo: cifrado AES-256 aplicado por Supabase a la base de datos y al Storage de ficheros.
  • Conexiones administrativas a la base de datos: restringidas a IPs autorizadas y protegidas con MFA.

A.III.2 Control de accesos

  • Autenticación: Supabase Auth con hashing bcrypt de contraseñas. Magic link disponible. SSO Microsoft previsto en Ola 1.1.
  • MFA: opt-in para todos los Usuarios desde el lanzamiento; obligatorio para el rol Owner del propio Alethexis. MFA obligatorio para los roles Owner y DPO del Cliente previsto en Ola 2.
  • Aislamiento multi-tenant: Row Level Security (RLS) activa en todas las tablas con account_id. Tests de RLS automatizados en CI; ningún cambio se despliega si los tests fallan.
  • Mínimo privilegio: roles canónicos del Cliente (Owner, AI Officer, DPO, Contributor, Auditor) con permisos diferenciados; secciones sensibles (p. ej., DPIA) restringidas por rol mediante políticas RLS adicionales.
  • Service role keys de Supabase: utilizadas exclusivamente en Edge Functions y Server Actions del backend, jamás expuestas al cliente.

A.III.3 Auditabilidad e inmutabilidad

  • Audit log append-only en tabla audit.access_log con REVOKE UPDATE, DELETE a nivel de base de datos. Conservación 5 años.
  • PDFs FRIA y DPIA firmados con hash SHA-256 embebido en metadatos y visible en la última página. Triggers de base de datos verifican la inmutabilidad tras aprobación.
  • Snapshots de políticas publicadas versionados; los cambios crean nueva versión sin sobrescribir las anteriores.

A.III.4 Gestión de secretos

  • Variables de entorno almacenadas en Vercel y, cuando corresponda, en Supabase Vault. Nunca en el repositorio de código.
  • Rotación trimestral programada (enero, abril, julio, octubre) de claves de proveedores externos sensibles (Stripe restricted keys, Resend, Sentry, Anthropic, GitHub PAT).
  • Procedimiento documentado de rotación de emergencia ante sospecha de exposición.
  • Detección de secretos en commits mediante gitleaks en pre-commit y CI.

A.III.5 Vulnerabilidades y parches

  • Dependencias monitorizadas con pnpm audit y Dependabot.
  • Parches críticos aplicados en un objetivo < 72 horas desde la publicación del aviso.
  • Escaneo SAST básico en CI; revisión de seguridad en cada Pull Request relevante.

A.III.6 Backups y recuperación

  • Point-in-Time Recovery (PITR) activado en Supabase.
  • Retención de backups: 30 días rolling.
  • Test trimestral de restauración a entorno de staging para verificar integridad y procedimiento.

A.III.7 Cabeceras HTTP y hardening web

  • HSTS con max-age=63072000; includeSubDomains; preload.
  • Content-Security-Policy con nonce dinámico, sin unsafe-inline ni unsafe-eval en script-src.
  • X-Frame-Options: DENY · X-Content-Type-Options: nosniff · Referrer-Policy: strict-origin-when-cross-origin · Permissions-Policy restrictiva.
  • Self-hosted fonts (Montserrat, Open Sans, JetBrains Mono); no Google Fonts CDN para evitar fugas de IP a EE.UU.

A.III.8 Segregación de entornos

  • Entornos diferenciados de desarrollo, staging y producción.
  • Preview deployments con autenticación Vercel (Standard Protection); nunca accesibles públicamente con datos reales.
  • Datos de cliente únicamente en producción; staging usa datos sintéticos.

A.III.9 Sub-procesadores y proveedores

  • DPA firmado con cada Subencargado del Anexo II.
  • Lista pública actualizada en alethexis.com/legal/subprocessors.
  • Procedimiento de notificación de cambios al Cliente con preaviso de 30 días.

A.III.10 Medidas organizativas

  • Acceso interno restringido: principio de mínimo privilegio; sólo el operador del Servicio y, en su caso, miembros futuros del equipo con NDA y compromiso documentado de confidencialidad.
  • Formación AI Literacy y RGPD continua y documentada del personal con acceso a Datos Personales.
  • Política interna de uso de IA (BYOAI): el desarrollo con Claude Code no incluye Datos Sustantivos de Cliente; sólo código y prompts de desarrollo.
  • Procedimiento de brecha documentado en SECURITY_RUNBOOK.md interno, con plazo de notificación al Cliente ≤ 24 horas (cláusula 8).
  • Revisión anual de las medidas técnicas y organizativas con actualización del presente Anexo cuando proceda.

A.III.11 Lo que Alethexis declara expresamente que NO hace

  • No vende Datos Sustantivos a terceros bajo ningún concepto.
  • No utiliza Datos Sustantivos para entrenar modelos IA propios o de terceros.
  • No realiza profiling sobre los Datos Sustantivos.
  • No accede a las secciones funcionales del Cliente salvo soporte técnico con autorización explícita del Cliente y registro de la actuación en el audit log.
  • No toma decisiones automatizadas con efectos jurídicos sobre el Cliente ni sobre sus Interesados (los planes y el acceso son contratados, no asignados algorítmicamente).
  • No incorpora IA generativa dentro del Servicio en Ola 1 (decisión canónica de Alethexis).

© 2026 Alethexis · AI Governance & Compliance Framework for SMEs™ · Documento contractual confidencial · Basado en Reg.(UE) 2024/1689 (EU AI Act) y Reg.(UE) 2016/679 (RGPD). No constituye asesoramiento jurídico al Cliente sobre sus obligaciones como Responsable.