Acuerdo de Encargo de Tratamiento (AET)
⚠️ Este texto es una plantilla. El titular del sitio debe completar los datos marcados con [CORCHETES] y validarlo con su asesor jurídico antes de publicarlo, y formalizarlo como documento firmado con cada despacho cliente (no basta con publicarlo).
En cumplimiento del artículo 28 del Reglamento (UE) 2016/679 (RGPD), este documento regula el tratamiento de datos personales que [RAZÓN SOCIAL] («Legal Approach», el «Encargado») realiza por cuenta del despacho de abogados cliente («el Responsable») al prestar el servicio contratos.legalapproach.es.
1. Objeto y duración
El Encargado tratará los datos personales indicados en la cláusula 3 únicamente para prestar el Servicio contratado por el Responsable, durante la vigencia del contrato de servicio y mientras subsista dicho tratamiento.
2. Instrucciones del Responsable
El Encargado tratará los datos siguiendo las instrucciones documentadas del Responsable, materializadas en el uso ordinario del Servicio (creación de contratos, gestión de partes y clientes, generación asistida por IA, firma electrónica). Si el Encargado considera que una instrucción infringe el RGPD u otra norma de protección de datos, lo comunicará inmediatamente al Responsable.
3. Naturaleza, finalidad y datos objeto del tratamiento
| Elemento | Detalle |
|---|---|
| Finalidad | Redacción, gestión, firma electrónica y archivo de contratos y documentos legales |
| Categorías de interesados | Clientes del Responsable, contrapartes contractuales y, en su caso, empleados del Responsable |
| Categorías de datos | Identificativos (nombre, NIF/CIF), contacto (email, teléfono, domicilio), datos económicos del contrato (incl. IBAN cuando el tipo de contrato lo requiera), firma electrónica y metadatos de firma (IP, timestamp, hash del documento) |
| Categorías especiales (art. 9 RGPD) | Solo si el propio tipo de contrato las requiere (p. ej. datos de salud en determinados consentimientos); el Responsable garantiza la base jurídica reforzada correspondiente |
4. Obligaciones del Encargado
- Tratar los datos solo conforme a las instrucciones documentadas del Responsable, incluida cualquier transferencia internacional (salvo obligación legal, que se comunicará previamente si la norma lo permite).
- Garantizar que las personas autorizadas a tratar los datos se han comprometido a la confidencialidad.
- Aplicar las medidas técnicas y organizativas del artículo 32 RGPD: pseudonimización de identificadores antes de cualquier llamada a un proveedor de IA, cifrado en tránsito y de secretos en reposo, control de acceso multi-tenant, autenticación reforzada (2FA), registro de auditoría, copias de seguridad verificadas.
- Respetar las condiciones de la cláusula 5 para la subcontratación (subencargados).
- Asistir al Responsable, en la medida de lo posible, para que pueda responder a solicitudes de ejercicio de derechos de los interesados.
- Asistir al Responsable en el cumplimiento de sus obligaciones de seguridad (art. 32), notificación de brechas (art. 33-34) y, en su caso, evaluaciones de impacto (art. 35).
- A elección del Responsable, suprimir o devolver todos los datos personales una vez finalice la prestación del Servicio, y suprimir las copias existentes, salvo obligación legal de conservación.
- Poner a disposición del Responsable la información necesaria para demostrar el cumplimiento de estas obligaciones y permitir auditorías (incluidas inspecciones), realizadas con antelación razonable y sin perjuicio de la confidencialidad debida a otros clientes.
5. Subencargados
El Responsable autoriza con carácter general la subcontratación de los siguientes subencargados, de cuyo cumplimiento responde el Encargado. Cualquier cambio (alta de un nuevo subencargado o sustitución) se comunicará al Responsable con antelación razonable, que podrá oponerse por motivos justificados relacionados con la protección de datos.
| Subencargado | País | Finalidad | Salvaguarda transferencia |
|---|---|---|---|
| Anthropic, PBC | EE. UU. | Generación y análisis asistido por IA (texto pseudonimizado) | Cláusulas Contractuales Tipo (RGPD art. 46) — [CONFIRMAR DPA AGREEMENT SUSCRITO] |
| Resend.com | EE. UU. | Envío de emails transaccionales (invitaciones y notificaciones de firma) | DPA/cláusulas del proveedor |
| [PROVEEDOR VPS/HOSTING] | [PAÍS] | Alojamiento de la base de datos y la aplicación | [RELLENAR] |
6. Transferencias internacionales
El tratamiento asistido por IA implica el envío de texto pseudonimizado(los identificadores personales se sustituyen por marcadores antes del envío y se restituyen únicamente en la respuesta al propio despacho) a Anthropic, PBC en Estados Unidos. Este tratamiento se ampara en las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea, sin perjuicio de la medida técnica adicional que supone la pseudonimización previa.
7. Notificación de brechas de seguridad
El Encargado notificará al Responsable sin dilación indebida (en todo caso dentro de las [24-48] horas siguientes a tener conocimiento) cualquier violación de la seguridad de los datos personales tratados, conforme al procedimiento descrito en el runbook interno de gestión de brechas, para que el Responsable pueda cumplir su propio plazo de 72 horas ante la AEPD (art. 33 RGPD).
8. Vigencia y efectos de la resolución
Este Acuerdo estará vigente mientras subsista el tratamiento objeto del contrato de servicio. A su finalización, el Encargado, a elección del Responsable, devolverá o suprimirá los datos personales, salvo que deba conservarse alguna copia por obligación legal (p. ej. registros de auditoría o evidencia de firma electrónica, con el alcance descrito en la política de privacidad).
Última actualización: [FECHA]