Acuerdo de Encargo de Tratamiento de Datos Personales (DPA)

1. IDENTIFICACIÓN DE LAS PARTES

El presente Acuerdo se celebra entre:

EL CLIENTE (en adelante, el “RESPONSABLE DEL TRATAMIENTO”): la persona física o jurídica que contrate el servicio de Tutoría de IA Integrado en la Nube, cuyos datos de identificación constan en el proceso de contratación online y en la cuenta de usuario.

OKREACH S.L., con CIF/NIF: B21816822, (en adelante, el “ENCARGADO DEL TRATAMIENTO” con dirección en: Calle a Calle Príncipe de Vergara, 56, Bajo 2 – 21006 Madrid, Correo electrónico de contacto: javier@okreach.ai

2. DEFINICIONES

A los efectos de este Acuerdo, se entenderá por:

1. Datos Personales: toda información sobre una persona física identificada o identificable («el interesado»).
2. Tratamiento: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales.
3. Responsable del Tratamiento: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento.
4. Encargado del Tratamiento: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.
5. Normativa de Protección de Datos: el Reglamento (UE) 2016/679 (RGPD), la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), y cualquier otra normativa en materia de protección de datos que resulte de aplicación.
6. Seudonimización: técnica de seguridad prevista en el Reglamento (UE) 2016/679 (RGPD) que consiste en el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional se mantenga por separado y sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable. En la práctica, supone sustituir la información identificativa directa de los interesados (como nombre o correo electrónico) por un identificador o código (p. ej., un número o ID), de modo que se refuerce la seguridad y la confidencialidad de los datos.
7. Perfilado básico o funcional: cualquier forma de tratamiento automatizado de datos personales consistente en utilizar un identificador o conjunto limitado de datos con el único fin de organizar, clasificar o mejorar la prestación del servicio, sin que ello implique decisiones automatizadas con efectos jurídicos o similares para los interesados.
8. Medidas de seguridad: es el conjunto de medidas técnicas y organizativas apropiadas destinadas a garantizar un nivel de seguridad adecuado al riesgo, incluidas, entre otras, la seudonimización y el cifrado de datos personales, la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento, así como los procedimientos para verificar, evaluar y valorar regularmente la eficacia de dichas medidas.

3. OBJETO Y FINALIDAD DEL ENCARGO

El presente Acuerdo tiene por objeto definir las condiciones conforme a las cuales el ENCARGADO DEL TRATAMIENTO llevará a cabo el tratamiento de datos personales necesario para la correcta prestación del servicio de Tutoría de IA Integrado en la Nube (en adelante, el “SERVICIO”) contratado por el CLIENTE.

La finalidad del tratamiento es exclusivamente la prestación del SERVICIO descrito en los Términos y Condiciones, que incluye:

a) Permitir el acceso y uso del servicio de tutoría de IA integrado en la plataforma del CLIENTE.

b) Gestionar y responder a las consultas y solicitudes realizadas por los alumnos a través del Tutor IA.

c) Personalizar la experiencia de aprendizaje y adaptar las respuestas del Tutor IA a las necesidades de cada alumno.

d) Realizar análisis estadísticos y de uso para la mejora continua del servicio y de la experiencia de usuario.

e) Actualizar y mantener el sistema, incluyendo la incorporación de nuevos materiales y la optimización de los modelos de IA.

f) Garantizar la seguridad y el correcto funcionamiento del servicio.

g) Cumplir con las obligaciones legales y regulatorias aplicables.

4. IDENTIFICACIÓN DE LA INFORMACIÓN AFECTADA

Para la ejecución del SERVICIO, el RESPONSABLE DEL TRATAMIENTO pone a disposición del ENCARGADO DEL TRATAMIENTO la información que se describe a continuación:

• Categorías de interesados: Alumnos matriculados en los cursos y formaciones ofrecidos por el CLIENTE. Los alumnos son personas mayores de edad.
• Categorías de datos personales:
  • Datos identificativos: nombre y apellidos, correo electrónico.
  • Datos de interacción: consultas, preguntas y respuestas realizadas por los alumnos al Tutor IA y en función a la actividad de cada CLIENTE.

5. DURACIÓN

El presente Acuerdo entrará en vigor en la fecha de su firma y permanecerá vigente mientras el ENCARGADO DEL TRATAMIENTO continúe prestando el SERVICIO al RESPONSABLE DEL TRATAMIENTO, o hasta que cualquiera de las partes notifique a la otra la terminación del mismo conforme a lo establecido en los Términos y Condiciones del SERVICIO.

6. OBLIGACIONES DEL ENCARGADO DEL TRATAMIENTO

El ENCARGADO DEL TRATAMIENTO y todo su personal se obliga a:

6.1. Uso y finalidad del tratamiento

a) Tratar los datos personales únicamente siguiendo instrucciones documentadas del RESPONSABLE DEL TRATAMIENTO, inclusive con respecto a las transferencias internacionales de datos.
b) No utilizar los datos personales para ninguna finalidad distinta a la prestación del SERVICIO contratado.
c) No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del RESPONSABLE DEL TRATAMIENTO o en los supuestos legalmente admisibles.

6.2. Medidas de seguridad

El PROVEEDOR se compromete a implementar y mantener medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento de los datos personales.

Entre las medidas de seguridad adoptadas se incluyen, al menos, las siguientes:

• Aplicación de tecnologías de cifrado avanzadas para proteger los datos personales tanto en reposo como en tránsito, asegurando la confidencialidad e integridad de la información.
• Control de accesos basado en el principio de mínimos privilegios, de modo que solo el personal autorizado pueda acceder a los datos personales necesarios para el desempeño de sus funciones.
• Aislamiento lógico de los datos de cada cliente mediante entornos independientes, garantizando la separación y protección de la información.
• Registro y monitorización de las actividades de tratamiento y de los accesos a los datos personales, con el fin de facilitar la trazabilidad y la auditoría.
• Medidas para garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
• Procedimientos para restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.
• Revisión y evaluación periódica de la eficacia de las medidas técnicas y organizativas implantadas, con el objetivo de garantizar la mejora continua de la seguridad.

6.3. Subcontratación

El RESPONSABLE DEL TRATAMIENTO autoriza al ENCARGADO DEL TRATAMIENTO a subcontratar con los siguientes proveedores tecnológicos, que pueden intervenir en la prestación de los servicios contratados y en el tratamiento de datos personales:

• AWS (Amazon Web Services) para infraestructura de hosting en la región eu-west-3 (París, Francia). DPA AWS
• Vercel: DPA Vercel
• OpenAI: DPA OpenAI
• Anthropic: DPA Anthropic
• Google Cloud: DPA Google Cloud

El ENCARGADO DEL TRATAMIENTO podrá integrar nuevos subencargados o proveedores tecnológicos, incluidos, sin carácter limitativo, proveedores de servicios de inteligencia artificial y modelos de IA (como Grok, Kling AI, u otros que pudieran incorporarse en el futuro), siempre que ofrezcan garantías suficientes de cumplimiento del RGPD.

El ENCARGADO DEL TRATAMIENTO se compromete a informar al RESPONSABLE DEL TRATAMIENTO sobre cualquier cambio relevante en la lista de subencargados, otorgando a este último un plazo razonable para manifestar su oposición, en caso de que lo considere oportuno.

El ENCARGADO DEL TRATAMIENTO garantiza que todos los subencargados cumplen con la normativa europea de protección de datos y que:

• Disponen de acuerdos de tratamiento de datos (DPA) que incluyen las garantías necesarias para transferencias internacionales, como las Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea, cuando corresponda.

• No utilizarán los datos del CLIENTE para entrenar modelos propios ni para finalidades distintas a la prestación del servicio, salvo consentimiento explícito del RESPONSABLE DEL TRATAMIENTO.

6.4. Transferencias internacionales

El CLIENTE (RESPONSABLE DEL TRATAMIENTO) autoriza expresamente al PROVEEDOR (ENCARGADO DEL TRATAMIENTO) a realizar transferencias internacionales de datos personales, cuando sean necesarias para la prestación de los servicios contratados, a los proveedores tecnológicos identificados en este acuerdo (AWS, Vercel, OpenAI, Anthropic, Google Cloud) y bajo las garantías exigidas por la normativa europea de protección de datos (por ejemplo, Cláusulas Contractuales Tipo aprobadas por la Comisión Europea).

El PROVEEDOR garantiza que dichas transferencias se realizarán únicamente cuando sean imprescindibles para la ejecución de los servicios y siempre bajo la protección de acuerdos de tratamiento de datos (DPA) y las garantías legales correspondientes. Los enlaces a los DPA de estos proveedores se facilitan en el apartado de subcontratación.

 El CLIENTE declara conocer y aceptar que, en determinados supuestos, los datos personales podrán ser tratados fuera del Espacio Económico Europeo, y que dichas transferencias cumplen con los requisitos legales aplicables.

En particular:

1. Amazon Web Services (AWS): los AWS Service Terms y el AWS GDPR Data Processing Addendum incorporan automáticamente las SCCs para cualquier transferencia internacional fuera del EEE. El servicio se configura preferentemente en regiones de la UE(Francia), si bien pueden producirse accesos de soporte desde EE. UU.
2. Vercel, Inc.: La transferencia se ampara en las Cláusulas Contractuales Tipo (SCCs) que incorpora su Data Processing Addendum (DPA) para las transferencias de datos desde la UE a EE. UU.
3. OpenAI, L.L.C.: dispone de un Data Processing Addendum (DPA) que incorpora SCCs para transferencias desde la UE a EE. UU. y se compromete a no utilizar los datos para reentrenamiento de modelos sin consentimiento expreso del cliente. El ENCARGADO no otorga dicho consentimiento.
4. Anthropic PBC: su DPA incorpora SCCs para transferencias internacionales (EE. UU) y regula expresamente las obligaciones y responsabilidades en relación con los datos tratados por cuenta del cliente.
5. Google Cloud Platform (GCP): ofrece regiones de procesamiento dentro del EEE (Frankfurt, Bélgica). Sus Data Processing Terms incluyen SCCs aplicables a cualquier transferencia fuera del EEE.

El Responsable, mediante la firma del presente Acuerdo, autoriza expresamente estas transferencias internacionales de datos a los proveedores indicados, en la medida en que resulten necesarias para la prestación del servicio contratado.

6.5. Confidencialidad

El ENCARGADO DEL TRATAMIENTO Garantiza que las personas autorizadas para tratar datos personales se comprometan, expresamente y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes.

El ENCARGADO DEL TRATAMIENTO, se compromete a mantener el deber de secreto respecto a los datos personales a los que haya tenido acceso, incluso después de finalizar la relación contractual.

6.6. Devolución o destrucción de los datos

Una vez finalice la prestación de los servicios objeto de este contrato, si el ENCARGADO hubiera almacenado datos personales, documentos y/o soportes facilitados por cualquier medio, deberá devolverlos, suprimirlos o entregarlos a un nuevo encargado, a elección del RESPONSABLE, incluidas las copias existentes. El ENCARGADO deberá emitir un certificado de devolución o destrucción si así lo exige el RESPONSABLE.

No procederá la supresión de datos cuando exista una obligación legal de conservación, en cuyo caso el ENCARGADO procederá a la custodia de los mismos, bloqueando los datos y limitando su tratamiento en tanto pudieran derivarse responsabilidades de su relación con el RESPONSABLE.

6.7. Ejercicio de derechos por los interesados

El ENCARGADO DEL TRATAMIENTO debe asistir al RESPONSABLE DEL TRATAMIENTO en la respuesta técnica al ejercicio de los derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento, portabilidad de los datos y a no ser objeto de decisiones individualizadas automatizadas.

El ENCARGADO DEL TRATAMIENTO debe comunicar al RESPONSABLE DEL TRATAMIENTO cualquier solicitud recibida directamente de un interesado, sin responderla, salvo que se le autorice expresamente.

6.8. Violaciones de seguridad

El ENCARGADO DEL TRATAMIENTO deberá notificar al RESPONSABLE DEL TRATAMIENTO, sin dilación indebida y como máximo en 24 horas, las violaciones de la seguridad de los datos personales, junto con toda la información relevante para la documentación y comunicación de la incidencia.

La notificación de una violación de seguridad deberá contener, como mínimo, la siguiente información:

• Descripción de la naturaleza de la violación.
• Categorías y el número aproximado de interesados afectados.
• Categorías y el número aproximado de registros de datos afectados.
• Posibles consecuencias.
• Medidas adoptadas o propuestas para remediar o mitigar los efectos.
• Datos de contacto donde pueda obtenerse más información (DPO, responsable de seguridad, etc.).

6.9. Evaluación de impacto

El ENCARGADO DEL TRATAMIENTO debe brindar apoyo al RESPONSABLE DEL TRATAMIENTO en la realización de las evaluaciones de impacto relativas a la protección de datos y en la consulta previa a la autoridad de control, cuando proceda.

6.10. Rendición de cuentas y auditorías

El ENCARGADO DEL TRATAMIENTO deberá poner a disposición del RESPONSABLE DEL TRATAMIENTO toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente Acuerdo, así como permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del RESPONSABLE DEL TRATAMIENTO o de otro auditor autorizado por éste.

7. OBLIGACIONES DEL RESPONSABLE DEL TRATAMIENTO

El RESPONSABLE DEL TRATAMIENTO se obliga a:

a) Entregar al ENCARGADO DEL TRATAMIENTO los datos a los que se refiere la cláusula 4 de este Acuerdo, el responsable garantiza que:

•          Tiene base legal para el tratamiento (art. 6 RGPD).

•          Ha informado a los interesados (art. 13 y 14 RGPD).

•          No solicitará al Encargado el tratamiento de datos que excedan lo necesario.

b) Realizar, cuando sea necesario, una evaluación del impacto en la protección de datos personales de las operaciones de tratamiento a realizar por el ENCARGADO DEL TRATAMIENTO.

c) Realizar las consultas previas que correspondan.

d) Velar, de forma previa y durante todo el tratamiento, por el cumplimiento del RGPD por parte del ENCARGADO DEL TRATAMIENTO.

e) Supervisar el tratamiento, incluida la realización de inspecciones y auditorías.

f) Informar adecuadamente a los titulares de los datos sobre el tratamiento de sus datos personales por parte del ENCARGADO DEL TRATAMIENTO y, cuando sea necesario, obtener su consentimiento.

g) Conforme al Contrato principal vinculante, el Responsable se obliga a mantener la más estricta confidencialidad sobre toda la información a la que tengan acceso, ya sea técnica, comercial o de cualquier otra índole del PROVEEDOR o encargado del tratamiento, no pudiendo utilizarla en beneficio propio ni revelarla a terceros sin el consentimiento previo y por escrito de la otra parte.

h) El responsable, respecto de la información que constituya secreto empresarial conforme a la Ley 1/2019, de Secretos Empresariales, la obligación de confidencialidad subsistirá de forma indefinida mientras dicha información mantenga tal carácter.

8. TRATAMIENTO DE DATOS MEDIANTE SEUDONIMIZACIÓN Y PERFILADO FUNCIONAL

8.1. Seudonimización y funcionamiento del servicio
El ENCARGADO DEL TRATAMIENTO procesará los datos de los alumnos mediante técnicas de seudonimización, asignando un identificador único (ID) a cada usuario. Dicho identificador se empleará en el sistema para gestionar las interacciones, almacenar las conversaciones y evitar el uso directo de datos identificativos.
Cuando el modelo se dirija al alumno en las respuestas, únicamente mostrará el nombre de pila, sin apellidos ni datos adicionales, con el fin de garantizar un mayor nivel de privacidad.

8.2. Perfilado funcional
El tratamiento de datos realizado no implica decisiones automatizadas con efectos jurídicos sobre los interesados. El perfilado se limita a la organización básica de las interacciones y al registro de las preguntas más consultadas por los usuarios, con el único objetivo de mejorar la experiencia de aprendizaje y la calidad del servicio.El RESPONSABLE DEL TRATAMIENTO informará a los alumnos de la existencia de este tratamiento de seudonimización y perfilado funcional, en cumplimiento del principio de transparencia. Asimismo, obtendrá el consentimiento de los interesados cuando sea legalmente necesario.

9. UBICACIÓN Y FLUJO DE DATOS

9.1. Ubicación principal de los datos

Los datos personales se almacenan en infraestructura de nube (DynamoDB AWS), con todas las garantías de seguridad y cumplimiento normativo exigidas por la normativa de la Unión Europea y la normativa española de protección de datos. El ENCARGADO DEL TRATAMIENTO ha seleccionado y contratado expresamente la región de la Unión Europea (eu-west-3, París, Francia) para el almacenamiento y tratamiento de los datos.

9.2. Procesamiento y flujo de datos

El funcionamiento del SERVICIO implica que, durante la interacción del usuario con el asistente, las preguntas pueden ser procesadas a través de diferentes infraestructuras tecnológicas. En estos casos, y salvo que el usuario facilite voluntariamente información personal en el contenido de la consulta, los datos enviados a estos servicios se someten a un proceso de seudonimización, mediante la asignación de un identificador (ID) que sustituye a los datos identificativos directos.

El RESPONSABLE DEL TRATAMIENTO mantendrá separada la tabla de correspondencia entre identificadores y datos personales (nombre, correo electrónico u otros), de forma que los sistemas de tratamiento externos únicamente gestionan datos seudonimizados.

Por lo tanto, los datos tratados en este contexto continúan siendo considerados datos personales, en los términos del Reglamento (UE) 2016/679 (RGPD), al ser posible la reidentificación mediante información adicional. El RESPONSABLE y el ENCARGADO del TRATAMIENTO se comprometen a implementar medidas técnicas y organizativas adecuadas para garantizar que dicha información adicional se mantenga bajo control restringido y protegido, evitando accesos no autorizados y asegurando que el tratamiento se realice únicamente para las finalidades descritas.

10. SUPERVISIÓN Y CONTROL DE LA IA

10.1. Control de calidad de respuestas

El ENCARGADO DEL TRATAMIENTO implementa los siguientes mecanismos para supervisar errores del tutor IA:

a) Los usuarios pueden enviar feedback directo sobre la respuesta del tutor IA mediante un botón integrado en la interfaz.

b) Si marcan una respuesta como incorrecta, esta es reenviada a los administradores de cada academia, quienes pueden revisar la consulta, enviar una respuesta corregida al alumno e incorporar ese caso para mejorar futuras respuestas.

10.2. Prevención de respuestas inadecuadas

Para evitar que el sistema proporcione respuestas inadecuadas, imprecisas o dañinas:

a) Se aplican filtros de contenido en los modelos de lenguaje utilizados, que ayudan a prevenir la generación de contenido ofensivo, discriminatorio o inseguro.

b) Los tutores están diseñados para funcionar en contextos formativos concretos y se alimentan de información específica de cada academia, lo que limita su ámbito de respuesta y reduce riesgos de imprecisiones.

c) Existe supervisión humana por parte del equipo de cada academia, que puede revisar las respuestas y corregirlas cuando sea necesario.

10.3. Nivel de riesgo del sistema de IA

El sistema de tutoría de IA integrado en este servicio ha sido evaluado conforme al Reglamento de Inteligencia Artificial de la UE y se considera de riesgo limitado. No realiza funciones de evaluación académica reglada, no determina el acceso a formación oficial, ni toma decisiones automatizadas con efectos legales o significativos para los usuarios. El sistema actúa como asistente virtual para formación no reglada dirigida a adultos, en temáticas de desarrollo personal y profesional.

11. RESPONSABILIDAD

Conforme al artículo 82 del RGPD, el RESPONSABLE responderá de los daños y perjuicios causados en cualquier operación de tratamiento en que participe y no cumpla lo dispuesto en el RGPD, y el ENCARGADO únicamente responderá de los daños y perjuicios causados por el tratamiento cuando no haya cumplido con las obligaciones del RGPD dirigidas específicamente al ENCARGADO o haya actuado al margen o en contra de las instrucciones legales del RESPONSABLE. Del mismo modo, el ENCARGADO estará exento de responsabilidad si demuestra que no es en modo alguno responsable del hecho que haya causado los daños y perjuicios.

12. DURACIÓN Y FIN DE LA PRESTACIÓN DE SERVICIOS

La duración del presente acuerdo será la misma que la del acuerdo de prestación de servicios que lo origina.

Una vez finalice la prestación de los servicios objeto de este contrato, EL ENCARGADO deberá devolver, destruir, bloquear la información en los términos anteriormente detallados en la cláusula 6.6.

13. MODIFICACIONES DEL ACUERDO

El PROVEEDOR podrá modificar el presente Acuerdo para adaptarlo a cambios legislativos, regulatorios o a la evolución de los servicios ofrecidos. Cualquier modificación será comunicada al CLIENTE a través de los canales habituales (por ejemplo, correo electrónico o notificación en la plataforma web) y publicada en la web del PROVEEDOR, indicando la fecha de entrada en vigor de la nueva versión.

En caso de que la modificación afecte de forma sustancial a los derechos u obligaciones de las partes, el CLIENTE podrá manifestar su oposición o resolver la relación contractual conforme a lo previsto en este Acuerdo y en los Términos y Condiciones del servicio.

Si se produjeran cambios en la legislación aplicable que afectaran a las obligaciones de las partes en materia de protección de datos, ambas partes se comprometen a adaptar el presente Acuerdo a dichos cambios.

14. CLÁUSULAS GENERALES

El presente Acuerdo se regirá e interpretará de acuerdo con la legislación española. Para la resolución de cualquier controversia derivada del presente Acuerdo, las partes se someten a la jurisdicción de los Juzgados y Tribunales de la ciudad de Madrid, con renuncia expresa a cualquier otro fuero que pudiera corresponderles.

Si alguna cláusula de este Acuerdo fuera declarada nula o ineficaz, total o parcialmente, por cualquier tribunal o autoridad competente, las restantes cláusulas conservarán su validez.

15. ACEPTACIÓN

El presente Acuerdo de Encargo de Tratamiento de Datos forma parte integrante de los Términos y Condiciones del servicio o al contrato que esté vinculado. Su aceptación electrónica por parte del CLIENTE en el proceso de contratación online implica la plena conformidad y vinculación jurídica de ambas partes, con efectos desde la fecha de aceptación.

Aprobado y firmado digitalmente por el ENCARGADO DEL TRATAMIENTO (PROVEEDOR):

Nombre: OKREACH S.L.CIF/NIF: B21816822

Representante legal: Don Francisco Javier Gañán Onieva, cargo: director ejecutivo

Domicilio social: Calle Príncipe de Vergara, 56, Bajo 2 – 21006 Madrid

Correo electrónico de contacto: javier@okreach.ai