Acuerdo legal

Acuerdo de tratamiento de datos (DPA)

Condiciones que rigen el tratamiento de datos personales por SetAIComply como encargado del tratamiento en virtud del artículo 28 del RGPD.

← Volver a la página principal

Última actualización: Marzo 2026

1. Objeto y ámbito de aplicación

El presente Acuerdo de Tratamiento de Datos (en adelante el «DPA») complementa las Condiciones de Servicio (en adelante las «CS») y define las condiciones en las que SetAIComply (en adelante el «Encargado del tratamiento») trata datos personales por cuenta del Usuario (en adelante el «Responsable del tratamiento») en el marco de la prestación de la plataforma SaaS SetAIComply.

El presente DPA se celebra en virtud del artículo 28 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 (en adelante el «RGPD»). Se aplica a todo tratamiento de datos personales realizado por el Encargado del tratamiento por cuenta del Responsable del tratamiento en relación con el uso de la plataforma.

En caso de conflicto entre las disposiciones del presente DPA y las de las CS, prevalecerán las disposiciones del presente DPA en lo que respecta al tratamiento de datos personales.

2. Definiciones

Los términos utilizados en el presente DPA tienen el significado que les atribuye el RGPD, en particular:

  • «Datos personales»: toda información relativa a una persona física identificada o identificable, según la definición del artículo 4, apartado 1, del RGPD
  • «Tratamiento»: cualquier operación o conjunto de operaciones realizadas sobre datos personales, según la definición del artículo 4, apartado 2, del RGPD
  • «Responsable del tratamiento»: el Usuario de la plataforma SetAIComply que determina los fines y medios del tratamiento de datos personales
  • «Encargado del tratamiento»: SetAIComply, que trata datos personales por cuenta del Responsable del tratamiento
  • «Subencargado del tratamiento»: cualquier encargado del tratamiento contratado por el Encargado del tratamiento para realizar operaciones de tratamiento específicas por cuenta del Responsable del tratamiento
  • «Violación de datos»: una violación de la seguridad que ocasione, de manera accidental o ilícita, la destrucción, pérdida, alteración, comunicación no autorizada o acceso no autorizado a datos personales

3. Descripción del tratamiento

3.1 Naturaleza y finalidad del tratamiento

El Encargado del tratamiento realiza los siguientes tratamientos por cuenta del Responsable del tratamiento:

  • Alojamiento y almacenamiento de los datos introducidos por el Responsable del tratamiento en la plataforma
  • Tratamiento de datos relativos a sistemas de IA para la clasificación de riesgos y la evaluación de conformidad
  • Generación de documentación técnica mediante servicios de inteligencia artificial
  • Gestión de cuentas de usuario y autenticación
  • Registro de acciones con fines de auditoría y trazabilidad
  • Copia de seguridad y restauración de datos

3.2 Categorías de datos tratados

  • Datos de identificación de los usuarios: apellido, nombre, dirección de correo electrónico profesional, cargo
  • Datos de sistemas de IA: descripciones técnicas, casos de uso, datos de entrenamiento utilizados, evaluaciones de rendimiento
  • Datos de auditoría: registros de acciones, marcas temporales, identificadores de usuario
  • Datos de conexión: direcciones IP, registros de sesión

3.3 Categorías de interesados

  • Empleados del Responsable del tratamiento que utilizan la plataforma
  • En su caso, personas físicas cuyos datos se mencionan en las descripciones de sistemas de IA introducidas por el Responsable del tratamiento

3.4 Duración del tratamiento

El tratamiento se realiza durante toda la duración de la suscripción del Responsable del tratamiento a la plataforma SetAIComply. Al vencimiento o resolución de la suscripción, se aplicarán las disposiciones del artículo 12 del presente DPA.

4. Obligaciones del Encargado del tratamiento

El Encargado del tratamiento se compromete a:

  • Tratar los datos personales únicamente siguiendo las instrucciones documentadas del Responsable del tratamiento, incluso en lo que respecta a las transferencias a un tercer país, salvo que esté obligado a ello por la legislación aplicable al Encargado del tratamiento
  • Garantizar que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación legal de confidencialidad apropiada
  • Aplicar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, de conformidad con el artículo 32 del RGPD
  • Respetar las condiciones contempladas en el artículo 28, apartados 2 y 4, del RGPD para recurrir a otro encargado del tratamiento
  • Asistir al Responsable del tratamiento, mediante medidas técnicas y organizativas apropiadas, en el cumplimiento de su obligación de responder a las solicitudes de ejercicio de los derechos de los interesados
  • Asistir al Responsable del tratamiento en el cumplimiento de las obligaciones establecidas en los artículos 32 a 36 del RGPD (seguridad, notificación de violaciones, evaluación de impacto)
  • A elección del Responsable del tratamiento, suprimir o devolver todos los datos personales al finalizar la prestación del servicio y destruir las copias existentes, salvo que la legislación aplicable exija su conservación
  • Poner a disposición del Responsable del tratamiento toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el artículo 28 del RGPD y permitir y contribuir a las auditorías

5. Obligaciones del Responsable del tratamiento

El Responsable del tratamiento se compromete a:

  • Proporcionar al Encargado del tratamiento instrucciones documentadas relativas al tratamiento de datos
  • Garantizar, antes y durante toda la duración del tratamiento, el cumplimiento de las obligaciones establecidas por el RGPD
  • Garantizar la licitud del tratamiento de datos confiados al Encargado del tratamiento
  • Informar al Encargado del tratamiento de cualquier obligación particular relativa al tratamiento de datos
  • Supervisar el tratamiento realizado por el Encargado del tratamiento, incluso mediante la realización de auditorías e inspecciones

6. Medidas de seguridad

El Encargado del tratamiento aplica las siguientes medidas técnicas y organizativas para garantizar la seguridad de los datos personales:

6.1 Medidas técnicas

  • Cifrado de datos en tránsito mediante TLS 1.3 y en reposo mediante AES-256
  • Alojamiento en infraestructura cloud de la UE (Railway, certificado SOC 2 Type II) con centros de datos ubicados en Ámsterdam, Países Bajos
  • Autenticación segura con hash de contraseñas (algoritmo bcrypt)
  • Control de acceso basado en roles (RBAC) con el principio de mínimo privilegio
  • Cortafuegos de aplicaciones web (WAF) y protección contra ataques DDoS
  • Copias de seguridad automatizadas y cifradas con plan de recuperación ante desastres
  • Supervisión continua de la infraestructura y alertas en tiempo real
  • Segmentación de red y aislamiento de entornos

6.2 Medidas organizativas

  • Política de seguridad de la información documentada y actualizada periódicamente
  • Sensibilización y formación de los empleados en protección de datos y seguridad
  • Procedimientos de gestión de incidentes de seguridad
  • Revisiones de seguridad y pruebas de penetración periódicas
  • Gestión de derechos de acceso y revisión periódica de los mismos
  • Compromisos de confidencialidad firmados por todos los empleados

7. Subencargados del tratamiento

7.1 Autorización general

El Responsable del tratamiento autoriza de manera general al Encargado del tratamiento a contratar a otros subencargados del tratamiento para el tratamiento de datos personales en virtud del presente DPA. El Encargado del tratamiento informará al Responsable del tratamiento de cualquier cambio previsto relativo a la adición o sustitución de subencargados del tratamiento con al menos 30 días de antelación.

7.2 Derecho de oposición

El Responsable del tratamiento dispone de un plazo de 15 días a partir de la notificación para formular objeciones motivadas respecto a un nuevo subencargado del tratamiento. En caso de objeción, las partes se comprometen a negociar de buena fe para encontrar una solución mutuamente aceptable. A falta de acuerdo, el Responsable del tratamiento podrá resolver el contrato de conformidad con las CS.

7.3 Lista de subencargados del tratamiento

A la fecha del presente DPA, los subencargados del tratamiento autorizados son los siguientes:

SubencargadoFinalidadUbicaciónDatos afectados
Railway CorporationAlojamiento de la aplicación, bases de datos, caché, copias de seguridadUnión Europea (Ámsterdam, Países Bajos)Todos los datos de la plataforma
Stripe, Inc.Procesamiento de pagosUnión EuropeaDatos de facturación, datos bancarios
Anthropic, PBCGeneración de documentación por IA (Claude API)Estados UnidosDatos descriptivos de sistemas de IA (sin datos directamente identificativos)
Cloudflare, Inc.Envío de correos electrónicos transaccionales, DNSUnión Europea / red de borde global (constituida en EE. UU.)Dirección de correo electrónico y contenido de los mensajes transaccionales

7.4 Obligaciones aplicables a los subencargados del tratamiento

El Encargado del tratamiento se asegura de que cada subencargado del tratamiento esté vinculado por obligaciones de protección de datos al menos equivalentes a las establecidas en el presente DPA. El Encargado del tratamiento sigue siendo plenamente responsable ante el Responsable del tratamiento del cumplimiento de las obligaciones de sus subencargados del tratamiento.

8. Transferencias de datos fuera de la UE/EEE

Los datos personales se alojan y tratan dentro de la Unión Europea (Ámsterdam, Países Bajos) en infraestructura de Railway.

Las transferencias de datos a subencargados del tratamiento constituidos en EE. UU. se refieren a (i) datos descriptivos de sistemas de IA transmitidos a Anthropic, PBC (Estados Unidos) con el fin de generar documentación por IA, y (ii) la dirección de correo electrónico y el contenido de los mensajes transaccionales gestionados por Cloudflare, Inc. (Estados Unidos) para el envío de correos electrónicos. Estas transferencias se rigen por:

  • Cláusulas contractuales tipo (CCT) adoptadas por la Comisión Europea (decisión de ejecución 2021/914 de 4 de junio de 2021)
  • Medidas complementarias apropiadas, incluyendo el cifrado de datos en tránsito y la minimización de los datos transmitidos
  • Un acuerdo específico de tratamiento de datos con Anthropic, PBC, que garantiza que los datos no se utilizan para el entrenamiento de modelos de IA

En el curso normal del uso de la plataforma, no se transfieren a Anthropic datos directamente identificativos (apellido, nombre, dirección de correo electrónico).

9. Derechos de los interesados

El Encargado del tratamiento asiste al Responsable del tratamiento en el cumplimiento de su obligación de responder a las solicitudes de ejercicio de los derechos de los interesados (acceso, rectificación, supresión, limitación, portabilidad, oposición).

Cuando el Encargado del tratamiento reciba una solicitud directamente de un interesado, informará al Responsable del tratamiento sin demora indebida y no responderá a la solicitud sin instrucciones del Responsable del tratamiento, salvo que así lo exija la ley.

El Encargado del tratamiento pone a disposición del Responsable del tratamiento, a través de la plataforma, las herramientas técnicas necesarias para facilitar el ejercicio de los derechos de los interesados, en particular la exportación y supresión de datos.

10. Notificación de violaciones de datos

En caso de violación de datos personales, el Encargado del tratamiento notificará al Responsable del tratamiento sin demora indebida y a más tardar en las 48 horas siguientes a haber tenido conocimiento de la violación. Esta notificación incluirá como mínimo:

  • La naturaleza de la violación, incluyendo, cuando sea posible, las categorías y el número aproximado de interesados y de registros de datos afectados
  • El nombre y los datos de contacto del punto de contacto donde pueda obtenerse más información
  • Las consecuencias probables de la violación
  • Las medidas adoptadas o propuestas para remediar la violación, incluyendo medidas para mitigar sus posibles efectos adversos

El Encargado del tratamiento cooperará con el Responsable del tratamiento y tomará todas las medidas razonables para asistirle en el cumplimiento de sus obligaciones de notificación a la autoridad de control (artículo 33 del RGPD) y a los interesados (artículo 34 del RGPD).

11. Auditorías e inspecciones

El Encargado del tratamiento pondrá a disposición del Responsable del tratamiento toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente DPA y permitirá y contribuirá a las auditorías, incluidas inspecciones, realizadas por el Responsable del tratamiento o un auditor designado por este.

Las auditorías están sujetas a las siguientes condiciones:

  • El Responsable del tratamiento presentará una solicitud por escrito con al menos 30 días de antelación respecto a la fecha prevista de la auditoría
  • La auditoría se realizará durante el horario laboral normal y no perturbará desproporcionadamente las actividades del Encargado del tratamiento
  • Los costes de la auditoría serán a cargo del Responsable del tratamiento, salvo que la auditoría revele un incumplimiento de las obligaciones del Encargado del tratamiento
  • Se incluye una auditoría anual en el contrato. Cualquier auditoría adicional estará sujeta al acuerdo previo del Encargado del tratamiento y se facturará por separado
  • El auditor designado estará sujeto a obligaciones de confidencialidad apropiadas

El Encargado del tratamiento también podrá proporcionar informes de auditoría o certificaciones existentes (ISO 27001, informes SOC 2) como medio para demostrar el cumplimiento de sus obligaciones.

12. Destino de los datos al finalizar el contrato

Al vencimiento o resolución de la suscripción, el Responsable del tratamiento dispone de un plazo de 30 días para descargar todos sus datos a través de las funcionalidades de exportación de la plataforma. Los datos pueden exportarse en formatos estructurados y de uso común (JSON, CSV).

Al finalizar este plazo de 30 días, y salvo instrucciones en contrario del Responsable del tratamiento, el Encargado del tratamiento eliminará de forma permanente todos los datos personales tratados por cuenta del Responsable del tratamiento en un plazo adicional de 60 días.

El Encargado del tratamiento solo podrá conservar datos más allá de estos plazos cuando así lo exija la legislación de la UE o francesa (en particular, los datos de facturación conservados durante 10 años de conformidad con el Código de Comercio y los datos de conexión conservados durante 12 meses de conformidad con el Decreto n.º 2011-219). El Encargado del tratamiento informará al Responsable del tratamiento de cualquier obligación legal de conservación aplicable.

Se expedirá un certificado de eliminación al Responsable del tratamiento previa solicitud al finalizar el procedimiento de eliminación.

13. Evaluación de impacto en la protección de datos

Cuando el Responsable del tratamiento esté obligado a realizar una evaluación de impacto en la protección de datos (EIPD) en el sentido del artículo 35 del RGPD, el Encargado del tratamiento proporcionará al Responsable del tratamiento la asistencia razonable necesaria para llevar a cabo dicha evaluación, teniendo en cuenta la naturaleza del tratamiento y la información de que dispone el Encargado del tratamiento.

14. Registro de actividades de tratamiento

De conformidad con el artículo 30, apartado 2, del RGPD, el Encargado del tratamiento mantiene un registro de todas las categorías de actividades de tratamiento realizadas por cuenta del Responsable del tratamiento. Este registro se pone a disposición de la CNIL previa solicitud.

15. Responsabilidad

Cada parte es responsable de los daños causados por un tratamiento que no cumpla con las obligaciones del RGPD que le incumben, de conformidad con los artículos 82 y 83 del RGPD.

El Encargado del tratamiento será responsable de los daños causados por el tratamiento únicamente cuando no haya cumplido con las obligaciones del RGPD específicamente dirigidas a los encargados del tratamiento o cuando haya actuado al margen de las instrucciones lícitas del Responsable del tratamiento o en contra de ellas.

16. Duración y resolución

El presente DPA entra en vigor en la fecha de registro del Responsable del tratamiento en la plataforma y permanece vigente mientras el Encargado del tratamiento trate datos personales por cuenta del Responsable del tratamiento.

Las obligaciones relativas a la confidencialidad, la seguridad y el destino de los datos al finalizar el contrato subsistirán tras la resolución del presente DPA.

17. Legislación aplicable y jurisdicción

El presente DPA se rige por la legislación francesa. Todo litigio relativo a su interpretación, ejecución o resolución se someterá a la jurisdicción exclusiva de los tribunales competentes de París.

18. Contacto

Para cualquier pregunta relativa al presente DPA o al tratamiento de datos personales, puede contactarnos:

  • Correo electrónico: support@setaicomply.com