Acuerdo de Tratamiento de Datos (DPA)

Encargo de tratamiento conforme al artículo 28 del RGPD

Documento pendiente de revisión legal final. Los datos identificativos del Encargado (entidad Aistant) y la firma se confirman antes del lanzamiento; al aceptar durante el alta queda registrada la fecha de aceptación.

Entre: tu negocio, cuyos datos identificativos facilitas durante el alta (en adelante, el «Responsable»).

Y: Ismael Gaspar García Sanchis, NIF 44946848H, con domicilio en C/ Palleter 13, 46008 Valencia, prestador del servicio Aistant (en adelante, el «Encargado»).

Este Acuerdo regula el tratamiento de datos personales por parte del Encargado por cuenta del Responsable, conforme al artículo 28 del Reglamento (UE) 2016/679 (RGPD) y a la Ley Orgánica 3/2018 (LOPDGDD).

1. Objeto

El Encargado tratará datos personales de los clientes finales del Responsable (los «Interesados») por cuenta del Responsable, exclusivamente para la prestación del servicio Aistant: chatbot conversacional por WhatsApp para la atención al cliente, captura de pedidos o solicitudes, y panel operativo asociado.

2. Duración

Permanecerá vigente mientras el Responsable mantenga contratado el servicio Aistant. A su finalización se aplicará la cláusula 11.

3. Naturaleza y finalidad del tratamiento

  • Transmitir mensajes entre el cliente final y el Responsable a través de WhatsApp.
  • Procesar la conversación mediante modelos de IA y generar respuestas en nombre del Responsable.
  • Registrar pedidos, solicitudes y estados en el panel del Responsable.
  • Enviar notificaciones operativas al cliente final cuando el Responsable lo solicite.

4. Categorías de datos personales

  • Número de teléfono WhatsApp
  • Nombre (si lo proporciona el cliente final)
  • Dirección de entrega (si aplica al servicio)
  • Detalles del pedido o solicitud
  • Contenido de los mensajes intercambiados
  • Idioma detectado

No se tratan categorías especiales de datos (art. 9 RGPD). Si excepcionalmente el cliente final aportara datos sensibles, se tratan con el mismo nivel de protección y se borran según la cláusula 10.

5. Categorías de interesados

Clientes finales (personas físicas) que contactan al Responsable a través del número de WhatsApp Business gestionado por Aistant.

6. Obligaciones del Encargado

  • Tratar los datos únicamente conforme a las instrucciones documentadas del Responsable.
  • Garantizar el deber de confidencialidad de las personas autorizadas.
  • Adoptar las medidas técnicas y organizativas de la cláusula 8.
  • Asistir al Responsable en los derechos de los Interesados (arts. 12–23 RGPD), incluida la palabra clave «BAJA» en el chat.
  • Asistir en seguridad, evaluaciones de impacto y consultas previas (arts. 32–36 RGPD).
  • A elección del Responsable, suprimir o devolver los datos al término del servicio.
  • Poner a disposición la información necesaria para demostrar el cumplimiento del art. 28 RGPD.
  • Notificar cualquier violación de seguridad sin dilación indebida (en cualquier caso, antes de 24 horas).

7. Subencargados (sub-procesadores)

El Responsable autoriza al Encargado a contratar a:

  • Meta Platforms Ireland Ltd. — WhatsApp Cloud API (UE / EE.UU. con cláusulas tipo)
  • Google Ireland Ltd. (Vertex AI) — modelos de IA (UE, europe-west4)
  • Anthropic PBC — modelos de IA alternativos (UE / EE.UU. con cláusulas tipo)
  • Supabase Inc. — base de datos PostgreSQL (UE, eu-west-1)
  • Vercel Inc. — alojamiento de la aplicación (UE / EE.UU. con cláusulas tipo)

El Encargado firmará con cada sub-encargado un acuerdo equivalente e informará con al menos 30 días de antelación de cualquier cambio, dando al Responsable la oportunidad de oponerse.

8. Medidas de seguridad

  • Cifrado en tránsito (TLS 1.2+) y en reposo (base de datos cifrada).
  • Control de accesos: panel protegido por contraseña por cliente; acceso a la base de datos limitado a la cuenta de servicio.
  • Verificación de integridad de las llamadas entrantes de WhatsApp mediante firma HMAC-SHA256.
  • Registro de actividad de cada mensaje entrante y saliente.
  • Aislamiento de inquilinos mediante identificadores únicos (tenant_id).

9. Notificación de brechas

El Encargado notificará al Responsable cualquier brecha de seguridad en un plazo máximo de 24 horas desde su detección. El Responsable conserva la obligación de notificar a la AEPD en 72 horas si procede.

10. Plazos de conservación

  • Conversaciones: 12 meses desde el último mensaje.
  • Pedidos/solicitudes sin completar: 90 días.
  • Pedidos/solicitudes entregados: 5 años (obligación fiscal del Responsable).
  • Datos de un Interesado que solicita la BAJA: máximo 72 horas (los pedidos entregados con obligación fiscal vigente se anonimizan).
  • Registros técnicos de deduplicación: 30 días.

11. Finalización del servicio

A la terminación, a elección del Responsable, el Encargado devolverá los datos en formato estructurado (JSON/CSV) o los suprimirá y certificará la supresión, en un plazo máximo de 30 días.

12. Auditoría

El Responsable podrá solicitar, una vez al año y con aviso de 30 días, información razonable para auditar el cumplimiento, sin acceso a datos personales de otros responsables.

13. Ley aplicable y jurisdicción

Este Acuerdo se rige por la legislación española y la normativa europea aplicable; las controversias se someten a los tribunales del domicilio del Responsable.