Contrato de Encargo del Tratamiento

conforme al art. 28 RGPD – entre el Responsable del tratamiento y AX1S / AIGOY (Encargado del tratamiento)

Esta es una traducción al español de cortesía. El contrato vinculante y firmable es la versión alemana («Auftragsverarbeitungsvertrag»); en caso de discrepancias, prevalece la versión alemana. Las descargas anteriores contienen el original en alemán.

Responsable del tratamiento

[Empresa / Nombre]
[Calle, n.º]
[Código postal, Ciudad], [País]
representado por: [Nombre]
«Responsable del tratamiento»

Encargado del tratamiento

Thomas Brandt, empresario individual
operando bajo la marca AX1S / AIGOY
AX1S c/o Clevver, Winterhuder Weg 29
22085 Hamburgo, Alemania
«Encargado del tratamiento»

§ 1 Objeto y duración

Tratamiento de datos personales por parte del Encargado del tratamiento por cuenta del Responsable del tratamiento en el contexto de la prestación de la plataforma AIGOY (Gobernanza de la IA, Riesgo y Cumplimiento). La duración coincide con la del contrato principal y finaliza con su resolución.

§ 2 Naturaleza, alcance y finalidad

Prestación de la plataforma AIGOY y sus módulos (inventario de IA, Gestión de Riesgos, Gestión de Políticas, Informes de Cumplimiento, Portal del Consejo, Centro de Formación, Protección de Denunciantes) y elaboración asistida por IA de políticas y evaluaciones de riesgos por parte del Compliance CoWorker «Felix» con el principio de doble verificación (cuatro ojos). Tratamiento únicamente para prestar los servicios y conforme a las instrucciones documentadas del Responsable del tratamiento.

§ 3 Tipos de datos y categorías de interesados

Tipos de datos personales (habituales):

Datos maestros/de contacto (nombre, correo electrónico profesional, departamento, función)
Datos de autenticación (contraseña con hash, marca de tiempo de inicio de sesión, token de sesión)
Datos de uso y de registro de la plataforma (incl. registro de auditoría)
Datos de formación/competencias (progreso en los módulos, certificados)
Datos de contenido introducidos por el Responsable del tratamiento (p. ej., políticas, riesgos, informes)

Categorías de interesados: los empleados, directivos y responsables del Responsable del tratamiento, los usuarios de la plataforma y, en su caso, los terceros cuyos datos introduce el Responsable del tratamiento como parte de sus procesos de cumplimiento.

Las categorías especiales (art. 9 RGPD) no forman parte del uso previsto; su introducción es responsabilidad exclusiva del Responsable del tratamiento y debe evitarse.

§ 4 Obligaciones del Encargado del tratamiento

Conforme al art. 28, apdo. 3, RGPD, el Encargado del tratamiento se compromete en particular a:

tratar los datos únicamente conforme a las instrucciones documentadas del Responsable del tratamiento (incl. transferencias a terceros países, salvo obligación legal).
garantizar que las personas autorizadas para el tratamiento se hayan comprometido a la confidencialidad.
aplicar las medidas técnicas y organizativas exigidas por el art. 32 RGPD (Anexo 1).
cumplir las condiciones para recurrir a otros encargados del tratamiento (art. 28, apdos. 2 y 4) (§ 6, Anexo 2).
asistir al Responsable del tratamiento en el cumplimiento de los derechos de los interesados (arts. 12–23).
asistir al Responsable del tratamiento con las obligaciones de los arts. 32–36 (seguridad, notificación de brechas, EIPD).
suprimir o devolver los datos personales una vez finalizado el tratamiento, a elección del Responsable del tratamiento (§ 10).
aportar pruebas del cumplimiento y permitir auditorías (§ 9).

§ 5 Medidas técnicas y organizativas (MTO)

Se aplican las MTO del Anexo 1 (art. 32 RGPD). Las medidas pueden adaptarse al progreso técnico siempre que no se reduzca el nivel de protección.

§ 6 Subencargados del tratamiento

El Responsable del tratamiento concede una autorización general para los subencargados del tratamiento enumerados en el Anexo 2. El Encargado del tratamiento celebra con ellos contratos conforme al art. 28 RGPD que imponen obligaciones equivalentes. Los cambios se notifican con antelación; el Responsable del tratamiento puede oponerse por motivos importantes de protección de datos. Para las transferencias a terceros países se aplican garantías adecuadas (Cláusulas Contractuales Tipo conforme al art. 46, apdo. 2, letra c), RGPD o el Marco de Privacidad de Datos UE-EE. UU.).

§ 7 Derechos de los interesados

El Encargado del tratamiento asiste al Responsable del tratamiento en la respuesta a las solicitudes de los interesados y le remite sin dilación indebida cualquier solicitud dirigida directamente a él.

§ 8 Notificación de violaciones de la seguridad de los datos personales

El Encargado del tratamiento notifica al Responsable del tratamiento sin dilación indebida tras tener conocimiento de una violación de la seguridad de los datos personales, con la información exigida por el art. 33 RGPD, para que el Responsable del tratamiento pueda cumplir sus obligaciones conforme a los arts. 33 y 34 RGPD.

§ 9 Derechos de auditoría y de prueba

Las pruebas se aportan principalmente mediante documentación adecuada (p. ej., SOC 2 Type II de la infraestructura utilizada, informes de auditoría, documentación de las MTO). Cuando sea necesario, el Encargado del tratamiento permite auditorías con un preaviso razonable y sin perturbaciones desproporcionadas.

§ 10 Supresión y devolución

Una vez finalizado el tratamiento, el Encargado del tratamiento suprime o devuelve todos los datos personales a elección del Responsable del tratamiento y destruye las copias, salvo que exista una obligación legal de conservación. La supresión se confirma a petición.

§ 11 Responsabilidad

La responsabilidad se rige por el art. 82 RGPD y el contrato principal.

§ 12 Disposiciones finales

Las modificaciones requieren forma escrita (texto). En caso de conflicto, las disposiciones de protección de datos de este contrato prevalecen sobre el contrato principal. Se aplica el Derecho alemán.

Lugar, fecha – Responsable del tratamiento
Nombre / función

Lugar, fecha – Encargado del tratamiento (AX1S / AIGOY)
Thomas Brandt

Anexo 1 – Medidas técnicas y organizativas (art. 32 RGPD)

AIGOY se desarrolla en Alemania, se aloja en Alemania y cuenta con soporte desde Alemania.

Objetivo	Medida
Confidencialidad	Cifrado en tránsito (TLS 1.2+) y en reposo (AES-256); Row Level Security (RLS); acceso basado en roles y de mínimo privilegio.
Integridad	Registro de auditoría de solo INSERT; cabina de aprobación de doble verificación (cuatro ojos): toda acción de escritura de Felix solo surte efecto tras la aprobación.
Disponibilidad y resiliencia	Copias de seguridad periódicas dentro de la región de la UE; infraestructura reforzada (Supabase / AWS eu-central-1 Frankfurt, SOC 2 Type II).
Ubicación de los datos	Tratamiento/almacenamiento en la UE (Frankfurt/Alemania). Inferencia de IA: sin entrenamiento con los datos; inferencia en la UE (AWS Bedrock Frankfurt) en preparación.
Separación	Separación lógica de inquilinos (tenant_id) aplicada mediante RLS.
Control de la subcontratación	Contratos del art. 28 con todos los subencargados del tratamiento; CCT/DPF para transferencias a terceros países.

Anexo 2 – Subencargados del tratamiento autorizados

Subencargado del tratamiento	Ubicación	Servicio / finalidad	Nota
IONOS SE	Montabaur, Alemania 🇩🇪	Alojamiento web	Contrato art. 28
Supabase Inc.	AWS eu-central-1, Frankfurt 🇩🇪 (UE)	Backend, base de datos, autenticación, Edge Functions	Contrato art. 28; SOC 2 Type II
Anthropic PBC	EE. UU. 🇺🇸	Servicio de IA (modelo Claude) para análisis / CoWorker Felix	Sin entrenamiento con los datos; CCT + DPF UE-EE. UU.; contrato art. 28
Stripe Payments Europe, Ltd.	Dublín, Irlanda 🇮🇪 (UE)	Procesamiento de pagos	Solo planes Business / Enterprise

Última actualización: mayo de 2026. Esta plantilla es un punto de partida y no constituye asesoramiento jurídico. Adáptela al caso concreto y sométala a revisión jurídica antes de utilizarla. En la página de Confianza y Seguridad se publica una lista actualizada de subencargados del tratamiento.