A los efectos del presente Acuerdo, son de aplicación las definiciones establecidas en el RGPD. Adicionalmente, se definen los siguientes términos:
|
Término |
Definición |
|
Datos Personales |
Cualquier información sobre una persona física identificada o identificable, incluidos nombres, correos electrónicos, teléfonos, datos de ubicación, identificadores en línea o cualquier otro dato que permita la identificación directa o indirecta. |
|
Tratamiento |
Cualquier operación o conjunto de operaciones efectuadas sobre Datos Personales, ya sea por procedimientos automatizados o no, tales como recogida, registro, organización, estructuración, conservación, adaptación, consulta, utilización, comunicación, difusión, limitación, supresión o destrucción. |
|
Responsable del Tratamiento |
La persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determina los fines y medios del Tratamiento. |
|
Encargado del Tratamiento |
La persona física o jurídica, autoridad pública, servicio u otro organismo que trata Datos Personales por cuenta del Responsable. En el presente DPA, Fracttal actúa como Encargado. |
|
Subencargado |
Todo tercero autorizado por el Encargado para llevar a cabo actividades de Tratamiento en su nombre, sujeto a obligaciones equivalentes a las del presente DPA. |
|
Brecha de Seguridad |
Toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de Datos Personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos. |
|
Transferencia Internacional |
Toda transmisión de Datos Personales a un tercer país u organización internacional fuera del Espacio Económico Europeo (EEE). |
|
Medidas Técnicas y Organizativas |
Medidas implementadas para garantizar un nivel de seguridad adecuado al riesgo, incluyendo seudonímización y cifrado de Datos Personales, confidencialidad, integridad, disponibilidad y resiliencia de los sistemas de tratamiento, así como la capacidad de restaurar la disponibilidad y el acceso en caso de incidente. |
|
Contrato principal |
El acuerdo de suscripción a Fracttal One suscrito entre Fracttal y el Cliente, del que el presente DPA forma parte integrante. |
|
Servicio MCP |
El acceso opcional a Fracttal One mediante el protocolo Model Context Protocol (MCP), regulado por el Anexo MCP al Contrato principal. |
|
Anexos |
Los documentos adjuntos al presente DPA que forman parte integrante del mismo: Anexo I (Descripción del Tratamiento), Anexo II (Medidas de Seguridad), Anexo III (Lista de Subencargados) y Anexo IV (Procedimiento de Notificación de Brechas). |
El objeto del presente DPA es regular el Tratamiento de Datos Personales llevado a cabo por Fracttal, en su condición de Encargado del Tratamiento, por cuenta del Cliente, en el marco de los servicios SaaS descritos en el Contrato principal.
El Tratamiento quedará estrictamente limitado a lo necesario para la prestación de dichos servicios, con arreglo a las instrucciones documentadas del Cliente y a la descripción recogida en el Anexo I.
Cuando el Cliente active el Servicio MCP, el presente DPA cubre exclusivamente el Tratamiento realizado por Fracttal a través del endpoint MCP que gestiona. El tratamiento de datos personales efectuado por el proveedor de inteligencia artificial externo elegido por el Cliente (incluidos, sin carácter limitativo, Anthropic, OpenAI, Microsoft o Google) queda fuera del ámbito del presente DPA y es responsabilidad exclusiva del Cliente en su condición de Responsable del Tratamiento.
El presente DPA entrará en vigor en la fecha de su aceptación y permanecerá vigente durante toda la duración del Contrato principal y el periodo posterior durante el que Fracttal trate Datos Personales por cuenta del Cliente, incluido cualquier periodo de retención legalmente exigido.
Tras la terminación del Contrato principal, el presente DPA continuará en vigor hasta la devolución o destrucción completa de los Datos Personales de conformidad con la Cláusula 10.
Fracttal, en su condición de Encargado del Tratamiento, se compromete a:
El Cliente otorga a Fracttal una autorización general para subcontratar partes del Tratamiento a los Subencargados relacionados en el Anexo III, sujeta a las siguientes condiciones:
La lista actualizada de Subencargados está disponible en el Anexo III y en https://www.fracttal.com/subprocessors . En caso de que el Cliente se oponga a un Subencargado, Fracttal prescindirá de él o, si ello hiciera imposible la prestación del servicio, las partes negociarán de buena fe una solución alternativa.
Nota específica sobre el Servicio MCP: los proveedores de inteligencia artificial externa (Anthropic, OpenAI, Microsoft, Google) NO son Subencargados de Fracttal en el marco del Servicio MCP. Dichos proveedores actúan bajo instrucción directa del Cliente y su contratación, supervisión y cumplimiento normativo es responsabilidad exclusiva del Cliente.
Los Datos Personales tratados por Fracttal en el marco del Contrato principal se alojan en servidores AWS ubicados en París (Francia, EU-West-3), dentro del Espacio Económico Europeo, por lo que no se produce, en condiciones normales, una Transferencia Internacional de datos por parte de Fracttal.
Cuando se requieran Transferencias Internacionales (por ejemplo, hacia Subencargados ubicados fuera del EEE), Fracttal implementará alguno de los siguientes mecanismos:
Cualquier cambio en la ubicación de los servidores que suponga una Transferencia Internacional requerirá notificación previa al Cliente con al menos 60 días de antelación y autorización expresa por escrito.
Fracttal facilitará al Cliente una copia de los acuerdos de Transferencia Internacional aplicables a su solicitud.
Fracttal implementará y mantendrá un Sistema de Gestión de Seguridad de la Información (SGSI) certificado bajo la norma ISO/IEC 27001:2022, que incluye como mínimo las medidas detalladas en el Anexo II.
Dichas medidas serán revisadas anualmente y actualizadas cuando sea necesario para hacer frente a nuevos riesgos. Fracttal realizará evaluaciones de riesgo periódicas, pruebas de penetración independientes al menos una vez al año y auditorías internas trimestrales. Cualquier cambio significativo en las medidas de seguridad será notificado al Cliente con antelación.
El Cliente, en su condición de Responsable del Tratamiento, se compromete a:
El Cliente podrá auditar el cumplimiento de Fracttal con el presente DPA, o designar a un auditor independiente, mediante notificación escrita previa de al menos 45 días, en horario de oficina y sin interferir indebidamente en las operaciones de Fracttal.
Fracttal cooperará facilitando: acceso a las instalaciones, sistemas y documentación pertinentes; informes de auditoría de terceros (p. ej. SOC 2 Tipo II); y evidencias del cumplimiento de sus obligaciones.
Las auditorías quedarán limitadas a una por año natural, salvo que existan motivos fundados de sospecha de incumplimiento. Los costes de la auditoría serán asumidos por el Cliente, salvo que se detecte un incumplimiento significativo, en cuyo caso Fracttal reembolsará los costes razonables. Toda información obtenida durante la auditoría estará sujeta a obligaciones de confidencialidad.
Tras la terminación del Contrato principal o del presente DPA, Fracttal procederá, a elección escrita del Cliente, a devolver o destruir todos los Datos Personales y sus copias en un plazo máximo de 30 días.
La devolución se realizará en un formato estándar (p. ej. CSV, JSON) a través de canales seguros. En caso de destrucción, Fracttal emitirá un certificado de destrucción confidencial que confirme que los datos son irrecuperables, conforme a estándares como la norma EN 15713:2009.
Fracttal podrá conservar Datos Personales cuando así lo exija la normativa aplicable, notificándolo al Cliente y limitando el Tratamiento a lo estrictamente necesario. Los periodos de retención legales aplicables se detallan en el Anexo I.
Cada parte será responsable de sus propios incumplimientos del presente DPA y de la normativa de protección de datos.
Fracttal indemnizará al Cliente por cualquier daño, pérdida, sanción administrativa o judicial derivada de un incumplimiento propio o de sus Subencargados, incluyendo, sin carácter limitativo: sanciones de autoridades de control, compensaciones a interesados, costes de defensa jurídica y costes de mitigación.
La responsabilidad agregada de Fracttal derivada del presente DPA no superará el importe total abonado o pagadero por el Cliente a Fracttal en virtud del Contrato principal durante los doce (12) meses inmediatamente anteriores al hecho generador de la reclamación («Valor Anual del Contrato»), salvo en casos de dolo o negligencia grave. Este límite no restringe la responsabilidad por Brechas de Seguridad causadas por negligencia propia de Fracttal en relación con sanciones regulatorias impuestas directamente al Cliente, que se evaluarán caso por caso.
El Cliente indemnizará a Fracttal por los incumplimientos derivados de instrucciones ilícitas o inexactas proporcionadas por el Cliente.
El presente DPA se rige por la legislación española. Cualquier litigio derivado del mismo se someterá exclusivamente a los tribunales de Madrid, con renuncia de las partes a cualquier otro fuero.
Para clientes con domicilio fuera de España y de la Unión Europea, las partes podrán acordar el sometimiento al arbitraje de la Cámara de Comercio Internacional (CCI) con sede en Madrid y aplicación de la legislación española, mediante acuerdo expreso previo a la firma del Contrato principal. En defecto de dicho acuerdo, prevalecerá la jurisdicción de los tribunales de Madrid.
Fracttal podrá modificar el presente DPA cuando sea necesario para adaptarse a cambios normativos o mejoras del servicio, notificando al Cliente con al menos 30 días de antelación mediante publicación en fracttal.com/es/dpa y comunicación directa al correo registrado del Cliente. Si el Cliente no formula objección expresa dentro de dicho plazo, se entenderá aceptada la modificación.
Cualquier modificación acordada específicamente entre las partes requerirá consentimiento escrito de ambas.
Las notificaciones se enviarán por correo electrónico certificado o medio equivalente y se considerarán recibidas en el plazo de 48 horas.
El presente DPA, junto con sus Anexos, constituye el acuerdo completo entre las partes en materia de Tratamiento de Datos Personales. Si alguna de sus disposiciones fuera declarada inválida, el resto permanecerá en vigor.
|
Campo |
Detalle |
|
Categorías de Datos Personales |
Nombres, direcciones de correo electrónico, números de teléfono, datos del personal de mantenimiento (técnicos, supervisores, gestores), datos de ubicación, identificadores en línea y cualquier otro dato cargado por el Cliente en la plataforma. En el caso de activación del Servicio MCP, los datos personales accedidos mediante el endpoint MCP pertenecen exclusivamente al entorno del Cliente y se transmiten al asistente de IA externo elegido por el Cliente. |
|
Categorías de Interesados |
Empleados del Cliente, técnicos de mantenimiento, usuarios de la plataforma y cualquier otra persona física cuyos datos el Cliente cargue en Fracttal One. |
|
Finalidades del Tratamiento |
Prestación de los servicios SaaS CMMS/EAM, incluyendo gestión de activos, gestión de órdenes de trabajo, notificaciones, analítica del sistema y, cuando el Cliente lo active, acceso mediante el protocolo MCP a los datos del Servicio por parte de asistentes de IA externos autorizados por el Cliente. |
|
Operaciones de Tratamiento |
Recogida, almacenamiento, consulta, modificación y supresión. |
|
Periodo de Retención |
Durante la vigencia del Contrato principal. Tras su terminación, los Datos Personales se conservarán un máximo de 30 días a efectos de devolución o destrucción conforme a la Cláusula 10, salvo que una norma aplicable exija un plazo superior. Periodos mínimos legales: (i) registros contables y fiscales: 6 años (Ley 58/2003 LGT); (ii) contratos mercantiles: 6 años (art. 30 Código de Comercio); (iii) datos de comunicaciones electrónicas: hasta 12 meses (Ley 25/2007); (iv) datos laborales del personal del Cliente: 4 años (LGSS). |
|
Datos de Categorías Especiales |
No están previstos. Si fuera aplicable, se requerirá autorización expresa y específica por escrito. |
|
Medida |
Detalle |
|
Cifrado |
Datos en tránsito: TLS 1.3. Datos en reposo: AES-256. |
|
Control de acceso |
Control de acceso basado en roles (RBAC), autenticación multifactor (MFA), principio de mínimo privilegio. |
|
Monitorización |
Registros de acceso 24/7, sistemas de detección de intrusiones (IDS/IPS). |
|
Copias de seguridad |
Copias de seguridad diarias; restauración comprobada trimestralmente. |
|
Pruebas de penetración |
Pruebas de penetración independientes anuales por terceros certificados; simulacros de respuesta a incidentes. |
|
Formación |
Formación anual en protección de datos para todo el personal con acceso a Datos Personales. |
|
Certificación |
SGSI certificado ISO/IEC 27001:2022. Informes SOC 2 Tipo II disponibles a petición. |
|
Seudonímización |
Aplicada donde sea técnicamente viable y proporcionada al riesgo. |
|
Respuesta a incidentes |
Plan documentado de respuesta a incidentes; equipo de respuesta a brechas disponible 24/7. |
|
Infraestructura cloud |
AWS París (EU-West-3); cumplimiento RGPD; acuerdos de transferencia mediante CCT y Decisión de Adecuación UE-EE.UU. (DPF) según proceda. |
Los siguientes Subencargados están autorizados en la fecha del presente DPA. Las actualizaciones se publican en https://www.fracttal.com/subprocessors con al menos 30 días de antelación.
|
Subencargado |
Servicio |
Ubicación |
Mecanismo de transferencia |
Relación con MCP |
|
Amazon Web Services (AWS) |
Infraestructura cloud y alojamiento |
UE — París (eu-west-3) y Países Bajos |
RGPD + CCT + Adecuación |
Sí — infraestructura del endpoint MCP |
|
HubSpot, Inc. |
CRM y automatización de marketing |
EE.UU. |
CCT + TIA |
No |
|
Twilio Inc. |
Mensajería y notificaciones |
EE.UU. |
CCT + TIA |
No |
|
Zendesk, Inc. |
Soporte al cliente |
EE.UU. |
CCT + TIA |
No |
|
WhatsApp (Meta Platforms) |
Notificaciones |
EE.UU. |
CCT + TIA |
No |
|
OpenAI, L.L.C. |
IA — Fracttal AI (Tony) |
EE.UU. |
CCT + TIA |
No — exclusivo de Fracttal AI |
|
Fase |
Plazo |
Acción |
|
Detección y evaluación |
< 24 horas desde el conocimiento |
El equipo de Seguridad de Fracttal identifica, clasifica y evalúa el alcance e impacto de la brecha. |
|
Notificación inicial al Cliente |
< 48 horas desde el conocimiento |
Aviso escrito preliminar vía correo electrónico al contacto designado del Cliente, incluyendo: descripción de la brecha, categorías de datos afectados, evaluación inicial del riesgo y medidas provisionales adoptadas. |
|
Informe completo del incidente |
< 72 horas desde el conocimiento |
Informe detallado que incluye: análisis de causa raíz, alcance completo de los datos afectados, número de interesados impactados, medidas definitivas de mitigación y plan de remediación. |
|
Cooperación regulatoria |
Según proceda |
Fracttal asiste al Cliente en la notificación a la autoridad de control competente (AEPD, SIC, ANPD, INAI, etc.) y a los interesados afectados, cuando así lo exijan los artículos 33 y 34 del RGPD o la normativa local equivalente. |
|
Revisión post-incidente |
En un plazo de 30 días |
Fracttal proporciona un informe post-incidente con lecciones aprendidas y medidas preventivas implementadas. |
|
Contacto de privacidad y brechas de Fracttal: privacidad@fracttal.com |
|