Acuerdo de Encargado del Tratamiento (DPA)

El presente Acuerdo de Encargado de Tratamiento ("DPA") forma parte integrante de los Términos de Servicio (/terminos) y regula las obligaciones de AIGiner S.L. ("Encargado") cuando trata datos personales por cuenta del Cliente ("Responsable") en virtud del artículo 28 del Reglamento (UE) 2016/679 (RGPD). En caso de conflicto entre los Términos y este DPA respecto del tratamiento de datos personales, prevalecerá este DPA.

Estructura del documento: el DPA cuenta con tres anexos. El Anexo I describe la naturaleza del tratamiento (operaciones, datos, interesados); el Anexo II recoge la relación de subencargados (con enlace a la lista pública); el Anexo III detalla las medidas técnicas y organizativas (TOMs) aplicadas conforme al art. 32 RGPD.

1. Partes y aceptación

Responsable: el Cliente que contrata el Servicio.

Encargado: AIGiner S.L., Gran Via de Carles III, 98, 08028 Barcelona, España.

Contacto DPO: dpo@aiginer.com.

Este DPA se entiende aceptado por el Responsable mediante la contratación del Servicio. Para clientes que requieran firma específica (planes Max, Plan Local, sectores regulados) se firmará versión PDF equivalente con valor probatorio.

2. Objeto y duración

El Encargado tratará datos personales por cuenta del Responsable exclusivamente con la finalidad de prestar el Servicio descrito en los Términos. La duración del tratamiento coincide con la vigencia del contrato más el periodo de devolución de datos (30 días) y los plazos legales mínimos de conservación cuando apliquen.

3. Anexo I, Detalle del tratamiento

4. Obligaciones del Encargado (art. 28 RGPD)

El Encargado se obliga a:

• Tratar los datos únicamente siguiendo instrucciones documentadas del Responsable, incluidas las indicadas en los Términos, en este DPA y las que el Responsable comunique posteriormente por canales formales.
• Garantizar que las personas autorizadas a tratar los datos se han comprometido a respetar la confidencialidad o están sujetas a obligación legal de confidencialidad equivalente.
• Aplicar las medidas técnicas y organizativas del Anexo III.
• Respetar las condiciones de subcontratación del apartado 5 (Anexo II).
• Asistir al Responsable, en la medida de lo posible y mediante medidas técnicas y organizativas apropiadas, en el cumplimiento de su obligación de responder a las solicitudes de ejercicio de derechos de los interesados.
• Asistir al Responsable a garantizar el cumplimiento de las obligaciones de los artículos 32 a 36 del RGPD (seguridad, brechas, DPIAs, consultas previas).
• A elección del Responsable, suprimir o devolver todos los datos personales una vez finalice la prestación, y suprimir las copias existentes salvo que la legislación aplicable obligue a conservarlas.
• Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones del art. 28, así como permitir y contribuir a auditorías conforme al apartado 7.
• Notificar inmediatamente al Responsable cuando, en su opinión, una instrucción infrinja el RGPD u otra normativa de protección de datos.

5. Anexo II, Subcontratación

El Responsable autoriza con carácter general la subcontratación de los sub-encargados publicados en /sub-encargados. La lista pública se considera incorporada a este DPA por referencia y se actualiza conforme avance el producto.

5.1 Lista resumen actual

5.2 Compromisos del Encargado respecto a los subencargados

• Notificar cualquier cambio (alta o sustitución) con un preaviso mínimo de 30 días por email a la cuenta administradora del Responsable y mediante actualización pública en la página de subprocesadores.
• Conceder al Responsable el derecho de oposición razonada en ese plazo. Si la oposición no puede resolverse, el Responsable podrá resolver el contrato sin penalización con efectos al final del ciclo en curso.
• Imponer a cada subencargado, mediante contrato escrito, las mismas obligaciones de protección de datos asumidas en este DPA, en particular las garantías suficientes de aplicación de medidas técnicas y organizativas apropiadas.
• Ser plenamente responsable ante el Responsable del cumplimiento por los subencargados.

6. Anexo III, Medidas de seguridad (art. 32 RGPD)

Aplicamos las siguientes medidas técnicas y organizativas (TOMs), revisadas periódicamente y proporcionales al riesgo del tratamiento.

6.1 Cifrado at-rest

• AES-256-GCM con envelope encryption: claves de datos (DEK) cifradas por una clave maestra (KEK) gestionada en KMS abstraction (@shara/crypto).
• Rotación periódica de KEK con retención de claves antiguas para descifrado de datos preexistentes.
• Secretos en almacenes dedicados (no en código ni en variables de entorno expuestas).

6.2 Cifrado en tránsito

• TLS 1.2 mínimo obligatorio (preferencia TLS 1.3) con cipher suites modernas.
• HSTS habilitado con max-age de al menos 6 meses y preload.
• Pinning de certificados en clientes desktop-agent y server-agent.

6.3 Autenticación e identidades

• Hash de credenciales con bcrypt (cost factor revisado anualmente).
• MFA TOTP obligatoria para administradores y opcional para el resto, con recuperación segura.
• Rate-limit por IP + por cuenta + circuit breaker contra fuerza bruta y enumeración.
• Principio de mínimo privilegio en accesos internos; revisión trimestral de roles; revocación inmediata al cesar.

6.4 Aislamiento multi-tenant

• Postgres con Row-Level Security (RLS) en todas las tablas con datos de cliente.
• Middleware tenantContext de doble capa que verifica la pertenencia a tenant en cada query antes de ejecutar.
• Plan Local: base de datos Postgres independiente desplegada en infraestructura del Cliente; sin pool compartido.

6.5 Anti-prompt-injection y robustez del modelo

• Suite red-team-v2 con 54 ataques (OWASP LLM Top 10 + casos específicos SHARA): direct injection, indirect injection vía documentos, data exfiltration, sensitive information disclosure, training data extraction, model DoS, supply chain, etc.
• Gate release-blocking: ≥95% de ataques neutralizados; en caso contrario, el release no avanza a producción.
• Redactor post-respuesta que elimina cualquier referencia al modelo real, al prompt de sistema, a IDENTITY.md o a configuración interna.
• Refuerzo en el prompt de sistema para tratar el input externo como contenido a procesar, nunca como instrucciones.

6.6 Headers y endurecimiento de la aplicación web

• HSTS, X-Frame-Options DENY, X-Content-Type-Options nosniff.
• Content Security Policy estricta con default-src 'self' y allowlist explícita.
• Permissions-Policy restringida (sin geolocalización, micrófono, cámara salvo necesidad justificada).
• Cookies de sesión con flags Secure, HttpOnly, SameSite=Lax.

6.7 Logs, auditoría y trazabilidad

• Tabla agent_runs append-only con run-id, agente, modelo alias, prompt-hash, tokens consumidos, latencia, modo (normal/low-spending) y resultado.
• Tabla audit_logs separada para eventos administrativos (cambios de IDENTITY.md, accesos a producción, cambios de configuración).
• Aprobaciones humanas registradas con identidad del aprobador y timestamp en formato firmado.
• Retención: agent_runs y audit_logs 365 días; logs operativos 90 días; logs de seguridad incidentales hasta resolución + 1 año.

6.8 Backups y continuidad

• Estrategia 3-2-1: 3 copias, 2 medios diferentes, 1 fuera de sede.
• Backups cifrados con frecuencia diaria, retención 30 días, replicación geográfica dentro de UE.
• Restore drill mensual con verificación de integridad y métricas RPO/RTO.
• Plan de continuidad y recuperación ante desastres documentado, revisado anualmente.

6.9 Gestión de claves

• Rotación de KEK al menos anual o ante incidente; rotación inmediata si se detecta exposición.
• Retención de KEKs antiguos durante el ciclo de vida del dato cifrado.
• Custodia separada de KEKs respecto a la infraestructura productiva (KMS abstraction).

6.10 Personal y proceso

• NDA firmado por todo el personal y por contratistas con acceso a producción.
• Acceso por necesidad estricta (need-to-know); sin acceso permanente a datos productivos del Cliente, salvo casos puntuales documentados.
• Formación anual obligatoria en seguridad y protección de datos.
• Revocación inmediata de credenciales al cesar el vínculo laboral o contractual.
• Procedimiento de gestión de brechas con runbook y simulacros periódicos.

7. Auditorías

El Responsable tiene derecho a auditar el cumplimiento de este DPA. La auditoría podrá realizarse:

• Mediante la entrega por el Encargado de informes y certificaciones independientes (SOC 2 Tipo II, ISO/IEC 27001, ISO/IEC 27701) cuando estén disponibles.
• Mediante cuestionarios de seguridad razonables.
• Mediante auditoría in-situ o remota una vez al año, previo preaviso de 60 días, durante horario laboral, con coste a cargo del Responsable y firma de NDA. La frecuencia podrá incrementarse si una autoridad de protección de datos lo requiere o tras una brecha confirmada.

8. Transferencias internacionales (arts. 44-49 RGPD)

Cuando el tratamiento implique transferencia internacional, se realizará al amparo de las Cláusulas Contractuales Tipo (SCC) adoptadas por la Comisión Europea (Decisión 2021/914), del marco EU-U.S. Data Privacy Framework cuando el subencargado esté certificado, o de cualquier otra garantía adecuada admitida por el RGPD. Las medidas suplementarias técnicas se describen en el Anexo III.

9. Asistencia al Responsable (arts. 32-36 RGPD)

El Encargado prestará al Responsable la asistencia razonablemente necesaria para cumplir sus obligaciones, en particular:

• Art. 32 (Seguridad): aplicación y demostración de las TOMs del Anexo III; respuesta a cuestionarios; revisión conjunta tras cambios materiales.
• Art. 33 (Notificación a la autoridad): comunicación al Responsable sin demora indebida y en cualquier caso en plazo que le permita cumplir el plazo art. 33 (≤72 h). Plantilla de información mínima en el apartado 10.
• Art. 34 (Notificación al interesado): provisión de la información necesaria para que el Responsable evalúe la obligación y, si decide notificar, redacte la comunicación.
• Art. 35 (DPIA): información sobre la naturaleza del tratamiento, medidas y riesgos a petición del Responsable, en plazo razonable.
• Art. 36 (Consulta previa): asistencia documental cuando el Responsable deba consultar a la autoridad de control.

El plazo objetivo de respuesta a solicitudes formales del Responsable al DPO (dpo@aiginer.com) es de 5 días hábiles.

10. Notificación de brechas (art. 33 RGPD)

En caso de brecha de seguridad que afecte a datos del Responsable, el Encargado lo notificará sin demora indebida y, a más tardar, en 72 horas desde su detección. La comunicación inicial incluirá, como mínimo, la siguiente plantilla:

Si no fuera posible facilitar toda la información en el plazo inicial, se hará de forma escalonada documentando las razones.

11. Devolución y eliminación de datos al final

• El Responsable dispone de 30 días naturales tras la terminación para descargar los datos en formato estructurado (JSON / CSV).
• A petición motivada, el plazo puede ampliarse 30 días adicionales.
• Transcurrido el plazo, el Encargado eliminará todos los datos del Responsable de su entorno productivo y, mediante la rotación natural (60 días adicionales máximo), de los backups, salvo obligación legal de conservación.
• Se facilitará certificado de eliminación si el Responsable lo solicita.

12. Régimen de incumplimiento

El incumplimiento por el Encargado de las obligaciones del RGPD en calidad de Encargado no exime al Responsable de su propia responsabilidad. Las sanciones administrativas que imponga la AEPD u otra autoridad competente serán asumidas por la parte que haya cometido la infracción, sin perjuicio de las acciones de regreso entre partes en función de la cuota de responsabilidad.

13. Disposiciones finales

Para cualquier cuestión sobre este DPA, contactar con el DPO en dpo@aiginer.com.

• Este DPA se rige por la ley española y las normas imperativas del RGPD.
• La nulidad parcial de alguna cláusula no afecta a la validez del resto.
• El idioma prevalente del DPA es el español; las versiones en otros idiomas son meras traducciones de cortesía.