Contrato de encargo del tratamiento
Contrato tipo conforme al art. 28 del Reglamento (UE) 2016/679 (RGPD) celebrado entre Bennovate sp. z o.o. en calidad de encargado del tratamiento y el despacho suscriptor en calidad de responsable del tratamiento.
1. Partes
Responsable del tratamiento: el despacho o la persona jurídica suscriptora del servicio Avantwerk Legal AI, cuyos datos de identificación figuran en el formulario de alta (en adelante, el «Responsable»).
Encargado del tratamiento:
Bennovate spółka z ograniczoną odpowiedzialnością
ul. Christiana Andersena 25, 94-118 Łódź, Polonia
KRS: 0000597272 · NIP: 7272799328 · REGON: 363700466
Correo: legal@avantwerk.com · DPD: dpo@avantwerk.com
(en adelante, el «Encargado»)
2. Objeto del encargo
El Encargado tratará, por cuenta del Responsable, los datos personales estrictamente necesarios para la prestación del servicio Avantwerk Legal AI conforme a las condiciones generales de contratación (en adelante, el «Contrato principal»).
El tratamiento cubierto por el presente contrato se limita a:
- datos de identidad y contacto del personal del Responsable que accede al servicio (letrados, administradores de cuenta);
- datos de facturación y contables del Responsable necesarios para la emisión de facturas y el cobro del precio;
- registros de uso y auditoría generados por la actividad del Responsable en el servicio (marcas de tiempo, acciones de funcionalidades);
- datos técnicos generados automáticamente (dirección IP, dispositivo, navegador) en el contexto del acceso al servicio.
El presente contrato no cubre el contenido de los expedientes del despacho, que nunca transita por la infraestructura del Encargado (véase cláusula 10).
3. Naturaleza, finalidad y duración del tratamiento
| Elemento | Detalle |
|---|---|
| Naturaleza | Almacenamiento, acceso, transferencia a subencargados, supresión |
| Finalidad | Prestación del servicio Avantwerk Legal AI; facturación; soporte técnico; seguridad del servicio |
| Categorías de interesados | Personal y letrados del Responsable; contactos de facturación |
| Duración | Vigencia del Contrato principal; tras su resolución, según cláusula 9 |
4. Instrucciones del Responsable
El Encargado tratará los datos personales únicamente siguiendo las instrucciones documentadas del Responsable, las cuales se materializan en el Contrato principal y en el presente contrato. Si el Encargado considera que una instrucción infringe el RGPD u otra normativa de protección de datos aplicable, informará de ello al Responsable sin demora (art. 28.3.h RGPD).
Si el Derecho de la Unión Europea o el Derecho de un Estado miembro aplicable al Encargado exige al Encargado un tratamiento distinto del instruido, el Encargado informará al Responsable de dicha exigencia legal antes del tratamiento, salvo que tal normativa lo prohíba por razones de interés público.
5. Confidencialidad
El Encargado garantiza que las personas autorizadas para tratar los datos personales del Responsable se han comprometido a guardar la debida confidencialidad o están sujetas a una obligación legal de confidencialidad adecuada (art. 28.3.b RGPD).
Esta obligación de confidencialidad persiste incluso tras la extinción del presente contrato.
6. Medidas de seguridad — art. 32 RGPD
El Encargado aplicará, con carácter mínimo, las siguientes medidas técnicas y organizativas para garantizar un nivel de seguridad adecuado al riesgo:
- Cifrado TLS 1.2/1.3 de los datos en tránsito; HSTS preloading;
- Cifrado en reposo de las claves de API BYOK almacenadas en IndexedDB del navegador del Responsable;
- Controles de acceso basados en roles y registro de auditoría de accesos a los datos de cuenta;
- Protección contra ataques de fuerza bruta en los puntos de autenticación del servicio;
- Procedimientos de gestión de vulnerabilidades y auditoría periódica de dependencias;
- Procedimiento documentado de notificación de brechas de seguridad conforme al art. 33 RGPD.
El Encargado notificará al Responsable, sin dilación indebida y en el plazo máximo de 72 horas desde que tenga conocimiento de ello, cualquier violación de la seguridad de los datos personales cubiertos por el presente contrato (art. 33.2 RGPD). La notificación se realizará a la dirección de correo electrónico que el Responsable haya registrado en el servicio.
7. Subencargados
El Responsable autoriza de forma general al Encargado a contratar subencargados del tratamiento para la prestación de los servicios cubiertos por el presente contrato. La lista de subencargados vigente es la siguiente:
| Subencargado | Función | País | Mecanismo de garantía |
|---|---|---|---|
| Hetzner Online GmbH | Alojamiento VPS — almacenamiento de datos de cuenta | Alemania (UE) | Dentro del EEE — sin transferencia internacional |
| Nuestro proveedor de CRM | Gestión de relación con el cliente | EE. UU. | Cláusulas contractuales tipo (CCT, Decisión 2021/914/UE) |
| Nuestro procesador de pagos | Cobro de suscripciones | EE. UU. | CCT |
| Nuestro proveedor de correo electrónico transaccional | Notificaciones de cuenta y facturas | EE. UU. | CCT |
| Plataforma de firma electrónica (autoalojada) | Contratos de incorporación | Alemania (nuestro VPS) | No es transferencia a tercero |
El Encargado informará al Responsable de cualquier cambio previsto en la lista de subencargados con al menos 30 días de antelación, dando al Responsable la oportunidad de oponerse a dicho cambio. Si el Responsable no manifiesta su oposición en ese plazo, se entenderá prestada su conformidad.
El Encargado impondrá a los subencargados, mediante contrato u otro acto jurídico vinculante, las mismas obligaciones en materia de protección de datos que las establecidas en el presente contrato, en particular la obligación de ofrecer garantías suficientes de aplicación de medidas técnicas y organizativas adecuadas (art. 28.4 RGPD).
El proveedor de IA elegido por el Responsable en modalidad BYOK no es subencargado del Encargado. La relación entre el Responsable y su proveedor de IA es una relación directa responsable-encargado, en la que el Encargado no interviene ni tiene acceso al contenido tratado.
8. Asistencia al Responsable
El Encargado asistirá al Responsable, en la medida de lo posible y teniendo en cuenta la naturaleza del tratamiento, mediante medidas técnicas y organizativas adecuadas, para que el Responsable pueda dar cumplimiento a:
- las solicitudes de ejercicio de los derechos de los interesados reconocidos en el Capítulo III RGPD (acceso, rectificación, supresión, limitación, portabilidad, oposición);
- las obligaciones del Responsable en materia de seguridad (art. 32 RGPD), notificación de brechas (arts. 33 y 34 RGPD), evaluación de impacto (art. 35 RGPD) y consulta previa (art. 36 RGPD).
9. Supresión o devolución de datos al término del contrato
A elección del Responsable, manifestada por escrito dentro de los 30 días siguientes a la resolución o extinción del Contrato principal, el Encargado:
- suprimirá todos los datos personales cubiertos por el presente contrato y destruirá las copias existentes, salvo que el Derecho de la Unión Europea o el Derecho de un Estado miembro exija la conservación de los datos; o
- facilitará al Responsable una exportación de los datos en formato estructurado y de uso común, y suprimirá a continuación todas las copias.
Si el Responsable no manifiesta su elección en ese plazo, el Encargado procederá a la supresión de los datos.
10. Contenido de los expedientes — ausencia de encargo
El Responsable reconoce y acepta que el contenido de los expedientes del despacho — documentos de cliente, escritos procesales, correspondencia privilegiada, cualquier otro producto del trabajo jurídico — permanece en el dispositivo y el almacenamiento del Responsable en todo momento y nunca es transmitido a los servidores del Encargado. En consecuencia:
- el Encargado no actúa en ningún caso como encargado del tratamiento respecto del contenido de los expedientes;
- el presente contrato no cubre dicho contenido;
- el Responsable es el único responsable del tratamiento de los datos personales que pudiera contener el expediente, en el ejercicio de su actividad jurídica y con respeto a sus obligaciones deontológicas, entre ellas el deber de secreto profesional ex art. 542.3 de la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial (LOPJ) y art. 21 del Estatuto General de la Abogacía Española (RD 135/2021, EGAE).
Esta configuración es una medida estructural de privacidad desde el diseño en cumplimiento del art. 25 RGPD. El secreto profesional es un deber absoluto del letrado que no puede ser objeto de renuncia, derogación ni sustitución por una cláusula contractual.
11. Derecho de auditoría
El Encargado pondrá a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el art. 28 RGPD y permitirá y contribuirá a la realización de auditorías, incluidas inspecciones, por parte del Responsable o de un auditor mandatado por este.
El Responsable reconoce que el Encargado podrá proponer la sustitución de las auditorías in situ por certificaciones, auditorías de terceros u otras medidas de verificación equivalentes cuando resulte razonablemente justificado por motivos de seguridad o confidencialidad comercial, siempre que se mantenga el nivel de transparencia exigido por el RGPD.
12. Ley aplicable y jurisdicción
El presente contrato se rige por el Reglamento (UE) 2016/679 (RGPD) y, en lo no previsto en él, por el Derecho español, en particular la LOPDGDD (LO 3/2018). Las partes se someten a los juzgados y tribunales que correspondan conforme a la normativa procesal aplicable, sin perjuicio de los derechos que asistan al Responsable como consumidor o usuario en el caso de contratos con consumidores.
13. Prevalencia
En caso de contradicción entre el presente contrato y el Contrato principal en materia de protección de datos, prevalecerán las estipulaciones del presente contrato. En las demás materias, prevalece el Contrato principal.