Acuerdo de Encargo del Tratamiento (DPA) | Documento Público de Adhesión

 

 

Cláusula 1. Definiciones

A los efectos del presente Acuerdo, son de aplicación las definiciones establecidas en el RGPD. Adicionalmente, se definen los siguientes términos:

 

Término

Definición

Datos Personales

Cualquier información sobre una persona física identificada o identificable, incluidos nombres, correos electrónicos, teléfonos, datos de ubicación, identificadores en línea o cualquier otro dato que permita la identificación directa o indirecta.

Tratamiento

Cualquier operación o conjunto de operaciones efectuadas sobre Datos Personales, ya sea por procedimientos automatizados o no, tales como recogida, registro, organización, estructuración, conservación, adaptación, consulta, utilización, comunicación, difusión, limitación, supresión o destrucción.

Responsable del Tratamiento

La persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determina los fines y medios del Tratamiento.

Encargado del Tratamiento

La persona física o jurídica, autoridad pública, servicio u otro organismo que trata Datos Personales por cuenta del Responsable. En el presente DPA, Fracttal actúa como Encargado.

Subencargado

Todo tercero autorizado por el Encargado para llevar a cabo actividades de Tratamiento en su nombre, sujeto a obligaciones equivalentes a las del presente DPA.

Brecha de Seguridad

Toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de Datos Personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

Transferencia Internacional

Toda transmisión de Datos Personales a un tercer país u organización internacional fuera del Espacio Económico Europeo (EEE).

Medidas Técnicas y Organizativas

Medidas implementadas para garantizar un nivel de seguridad adecuado al riesgo, incluyendo seudonímización y cifrado de Datos Personales, confidencialidad, integridad, disponibilidad y resiliencia de los sistemas de tratamiento, así como la capacidad de restaurar la disponibilidad y el acceso en caso de incidente.

Contrato principal

El acuerdo de suscripción a Fracttal One suscrito entre Fracttal y el Cliente, del que el presente DPA forma parte integrante.

Servicio MCP

El acceso opcional a Fracttal One mediante el protocolo Model Context Protocol (MCP), regulado por el Anexo MCP al Contrato principal.

Anexos

Los documentos adjuntos al presente DPA que forman parte integrante del mismo: Anexo I (Descripción del Tratamiento), Anexo II (Medidas de Seguridad), Anexo III (Lista de Subencargados) y Anexo IV (Procedimiento de Notificación de Brechas).

 

 

Cláusula 2. Objeto y Ámbito

El objeto del presente DPA es regular el Tratamiento de Datos Personales llevado a cabo por Fracttal, en su condición de Encargado del Tratamiento, por cuenta del Cliente, en el marco de los servicios SaaS descritos en el Contrato principal.

 

El Tratamiento quedará estrictamente limitado a lo necesario para la prestación de dichos servicios, con arreglo a las instrucciones documentadas del Cliente y a la descripción recogida en el Anexo I.

 

Cuando el Cliente active el Servicio MCP, el presente DPA cubre exclusivamente el Tratamiento realizado por Fracttal a través del endpoint MCP que gestiona. El tratamiento de datos personales efectuado por el proveedor de inteligencia artificial externo elegido por el Cliente (incluidos, sin carácter limitativo, Anthropic, OpenAI, Microsoft o Google) queda fuera del ámbito del presente DPA y es responsabilidad exclusiva del Cliente en su condición de Responsable del Tratamiento.

 

Cláusula 3. Duración

El presente DPA entrará en vigor en la fecha de su aceptación y permanecerá vigente durante toda la duración del Contrato principal y el periodo posterior durante el que Fracttal trate Datos Personales por cuenta del Cliente, incluido cualquier periodo de retención legalmente exigido.

 

Tras la terminación del Contrato principal, el presente DPA continuará en vigor hasta la devolución o destrucción completa de los Datos Personales de conformidad con la Cláusula 10.

 

Cláusula 4. Obligaciones de Fracttal (Encargado)

Fracttal, en su condición de Encargado del Tratamiento, se compromete a:

 

  • Tratar los Datos Personales única y exclusivamente según las instrucciones documentadas del Cliente, incluso en lo que respecta a las Transferencias Internacionales. Si Fracttal considerara que una instrucción infringe la normativa de protección de datos, lo notificará de inmediato al Cliente por escrito y podrá suspender el Tratamiento hasta recibir confirmación o modificación de la instrucción.
  • No utilizar, revelar ni transferir los Datos Personales para fines distintos de los establecidos en el presente DPA o en el Contrato principal, ni para finalidades propias, comerciales o publicitarias.
  • Garantizar que todo el personal autorizado para acceder a los Datos Personales esté sujeto a obligaciones de confidencialidad perpetuas o equivalentes y reciba formación periódica en materia de protección de datos.
  • Implementar y mantener las Medidas Técnicas y Organizativas detalladas en el Anexo II, para garantizar la confidencialidad, integridad y disponibilidad de los Datos Personales, de conformidad con el artículo 32 del RGPD.
  • Asistir al Cliente, a coste razonable, en el cumplimiento de sus obligaciones legales, incluyendo: (i) respuesta a solicitudes de ejercicio de derechos de los interesados (acceso, rectificación, supresión, limitación, portabilidad y oposición); (ii) realización de evaluaciones de impacto relativas a la protección de datos (EIPD/DPIA); y (iii) consultas previas a la autoridad de control.
  • Notificar al Cliente sin dilación indebida — y en todo caso en un plazo máximo de 48 horas desde que tenga conocimiento de ello — cualquier Brecha de Seguridad, siguiendo el procedimiento establecido en el Anexo IV. La notificación incluirá, como mínimo: descripción de la brecha, categorías y número aproximado de interesados afectados, consecuencias probables y medidas adoptadas o propuestas para mitigar sus efectos.
  • Mantener un registro actualizado de todas las actividades de Tratamiento realizadas por cuenta del Cliente, conforme al artículo 30.2 del RGPD, y ponerlo a disposición del Cliente o de las autoridades de control cuando así lo soliciten.
  • No comunicar Datos Personales a terceros sin autorización previa expresa y escrita del Cliente, salvo que venga impuesto por la normativa aplicable, en cuyo caso Fracttal notificará al Cliente con anterioridad siempre que ello sea posible.
  • Cooperar con el Cliente en cualquier investigación o procedimiento relacionado con la normativa de protección de datos.

 

Cláusula 5. Subencargados

El Cliente otorga a Fracttal una autorización general para subcontratar partes del Tratamiento a los Subencargados relacionados en el Anexo III, sujeta a las siguientes condiciones:

  • Fracttal notificará al Cliente con al menos 30 días de antelación cualquier prevista incorporación o sustitución de Subencargados, permitiendo al Cliente formular objeciones fundadas en motivos de protección de datos.
  • Fracttal impondrá a cada Subencargado, mediante contrato escrito, obligaciones equivalentes o más estrictas que las establecidas en el presente DPA.
  • Fracttal será responsable frente al Cliente de cualquier incumplimiento de un Subencargado como si fuera propio.

 

La lista actualizada de Subencargados está disponible en el Anexo III y en https://www.fracttal.com/subprocessors . En caso de que el Cliente se oponga a un Subencargado, Fracttal prescindirá de él o, si ello hiciera imposible la prestación del servicio, las partes negociarán de buena fe una solución alternativa.

 

Nota específica sobre el Servicio MCP: los proveedores de inteligencia artificial externa (Anthropic, OpenAI, Microsoft, Google) NO son Subencargados de Fracttal en el marco del Servicio MCP. Dichos proveedores actúan bajo instrucción directa del Cliente y su contratación, supervisión y cumplimiento normativo es responsabilidad exclusiva del Cliente.

 

Cláusula 6. Transferencias Internacionales de Datos

Los Datos Personales tratados por Fracttal en el marco del Contrato principal se alojan en servidores AWS ubicados en París (Francia, EU-West-3), dentro del Espacio Económico Europeo, por lo que no se produce, en condiciones normales, una Transferencia Internacional de datos por parte de Fracttal.

 

Cuando se requieran Transferencias Internacionales (por ejemplo, hacia Subencargados ubicados fuera del EEE), Fracttal implementará alguno de los siguientes mecanismos:

  • Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión Europea.
  • Normas Corporativas Vinculantes (BCR).
  • Códigos de conducta aprobados o mecanismos de certificación.
  • Decisión de adecuación de la Comisión Europea (incluyendo el Marco de Privacidad de Datos UE-EE.UU. — Data Privacy Framework).

 

Cualquier cambio en la ubicación de los servidores que suponga una Transferencia Internacional requerirá notificación previa al Cliente con al menos 60 días de antelación y autorización expresa por escrito.

 

Fracttal facilitará al Cliente una copia de los acuerdos de Transferencia Internacional aplicables a su solicitud.

 

Cláusula 7. Medidas de Seguridad

Fracttal implementará y mantendrá un Sistema de Gestión de Seguridad de la Información (SGSI) certificado bajo la norma ISO/IEC 27001:2022, que incluye como mínimo las medidas detalladas en el Anexo II.

 

Dichas medidas serán revisadas anualmente y actualizadas cuando sea necesario para hacer frente a nuevos riesgos. Fracttal realizará evaluaciones de riesgo periódicas, pruebas de penetración independientes al menos una vez al año y auditorías internas trimestrales. Cualquier cambio significativo en las medidas de seguridad será notificado al Cliente con antelación.

 

Cláusula 8. Obligaciones del Cliente (Responsable)

El Cliente, en su condición de Responsable del Tratamiento, se compromete a:

  • Proporcionar a Fracttal instrucciones claras, documentadas y lícitas para el Tratamiento, incluyendo cualquier actualización necesaria.
  • Garantizar que el Tratamiento de Datos Personales es lícito, leal y transparente, y se basa en una base jurídica adecuada conforme al artículo 6 del RGPD (o la normativa local aplicable en su jurisdicción).
  • Informar adecuadamente a los interesados sobre el Tratamiento, incluida la identidad de Fracttal como Encargado.
  • Realizar, cuando proceda, evaluaciones de impacto relativas a la protección de datos (EIPD/DPIA) antes de facilitar Datos Personales a Fracttal.
  • No impartir instrucciones de Tratamiento que contravengan la normativa de protección de datos, asumiendo la responsabilidad exclusiva de tales instrucciones.
  • Supervisar el cumplimiento de Fracttal mediante auditorías, conforme a la Cláusula 9.
  • Cumplir sus obligaciones de notificación de Brechas de Seguridad a las autoridades de control y a los interesados afectados.
  • Cuando el Cliente active el Servicio MCP: verificar que el proveedor de inteligencia artificial externo elegido ofrece garantías adecuadas conforme al artículo 28 del RGPD, incluyendo la suscripción de un DPA válido con dicho proveedor; verificar los mecanismos de transferencia internacional aplicables; e informar a los interesados conforme a los artículos 13 y 14 del RGPD.

 

Cláusula 9. Auditorías y Evaluaciones

El Cliente podrá auditar el cumplimiento de Fracttal con el presente DPA, o designar a un auditor independiente, mediante notificación escrita previa de al menos 45 días, en horario de oficina y sin interferir indebidamente en las operaciones de Fracttal.

 

Fracttal cooperará facilitando: acceso a las instalaciones, sistemas y documentación pertinentes; informes de auditoría de terceros (p. ej. SOC 2 Tipo II); y evidencias del cumplimiento de sus obligaciones.

 

Las auditorías quedarán limitadas a una por año natural, salvo que existan motivos fundados de sospecha de incumplimiento. Los costes de la auditoría serán asumidos por el Cliente, salvo que se detecte un incumplimiento significativo, en cuyo caso Fracttal reembolsará los costes razonables. Toda información obtenida durante la auditoría estará sujeta a obligaciones de confidencialidad.

 

Cláusula 10. Terminación y Devolución de Datos

Tras la terminación del Contrato principal o del presente DPA, Fracttal procederá, a elección escrita del Cliente, a devolver o destruir todos los Datos Personales y sus copias en un plazo máximo de 30 días.

 

La devolución se realizará en un formato estándar (p. ej. CSV, JSON) a través de canales seguros. En caso de destrucción, Fracttal emitirá un certificado de destrucción confidencial que confirme que los datos son irrecuperables, conforme a estándares como la norma EN 15713:2009.

 

Fracttal podrá conservar Datos Personales cuando así lo exija la normativa aplicable, notificándolo al Cliente y limitando el Tratamiento a lo estrictamente necesario. Los periodos de retención legales aplicables se detallan en el Anexo I.

 

Cláusula 11. Responsabilidad e Indemnización

Cada parte será responsable de sus propios incumplimientos del presente DPA y de la normativa de protección de datos.

Fracttal indemnizará al Cliente por cualquier daño, pérdida, sanción administrativa o judicial derivada de un incumplimiento propio o de sus Subencargados, incluyendo, sin carácter limitativo: sanciones de autoridades de control, compensaciones a interesados, costes de defensa jurídica y costes de mitigación.

 

La responsabilidad agregada de Fracttal derivada del presente DPA no superará el importe total abonado o pagadero por el Cliente a Fracttal en virtud del Contrato principal durante los doce (12) meses inmediatamente anteriores al hecho generador de la reclamación («Valor Anual del Contrato»), salvo en casos de dolo o negligencia grave. Este límite no restringe la responsabilidad por Brechas de Seguridad causadas por negligencia propia de Fracttal en relación con sanciones regulatorias impuestas directamente al Cliente, que se evaluarán caso por caso.

 

El Cliente indemnizará a Fracttal por los incumplimientos derivados de instrucciones ilícitas o inexactas proporcionadas por el Cliente.

 

Cláusula 12. Ley Aplicable y Jurisdicción

El presente DPA se rige por la legislación española. Cualquier litigio derivado del mismo se someterá exclusivamente a los tribunales de Madrid, con renuncia de las partes a cualquier otro fuero.

 

Para clientes con domicilio fuera de España y de la Unión Europea, las partes podrán acordar el sometimiento al arbitraje de la Cámara de Comercio Internacional (CCI) con sede en Madrid y aplicación de la legislación española, mediante acuerdo expreso previo a la firma del Contrato principal. En defecto de dicho acuerdo, prevalecerá la jurisdicción de los tribunales de Madrid.

 

Cláusula 13. Modificaciones y notificaciones

Fracttal podrá modificar el presente DPA cuando sea necesario para adaptarse a cambios normativos o mejoras del servicio, notificando al Cliente con al menos 30 días de antelación mediante publicación en fracttal.com/es/dpa y comunicación directa al correo registrado del Cliente. Si el Cliente no formula objección expresa dentro de dicho plazo, se entenderá aceptada la modificación.

 

Cualquier modificación acordada específicamente entre las partes requerirá consentimiento escrito de ambas.

Las notificaciones se enviarán por correo electrónico certificado o medio equivalente y se considerarán recibidas en el plazo de 48 horas.

 

Cláusula 14. Integridad del acuerdo y divisibilidad

El presente DPA, junto con sus Anexos, constituye el acuerdo completo entre las partes en materia de Tratamiento de Datos Personales. Si alguna de sus disposiciones fuera declarada inválida, el resto permanecerá en vigor.

 

 

Anexo I — Descripción del tratamiento

 

Campo

Detalle

Categorías de Datos Personales

Nombres, direcciones de correo electrónico, números de teléfono, datos del personal de mantenimiento (técnicos, supervisores, gestores), datos de ubicación, identificadores en línea y cualquier otro dato cargado por el Cliente en la plataforma. En el caso de activación del Servicio MCP, los datos personales accedidos mediante el endpoint MCP pertenecen exclusivamente al entorno del Cliente y se transmiten al asistente de IA externo elegido por el Cliente.

Categorías de Interesados

Empleados del Cliente, técnicos de mantenimiento, usuarios de la plataforma y cualquier otra persona física cuyos datos el Cliente cargue en Fracttal One.

Finalidades del Tratamiento

Prestación de los servicios SaaS CMMS/EAM, incluyendo gestión de activos, gestión de órdenes de trabajo, notificaciones, analítica del sistema y, cuando el Cliente lo active, acceso mediante el protocolo MCP a los datos del Servicio por parte de asistentes de IA externos autorizados por el Cliente.

Operaciones de Tratamiento

Recogida, almacenamiento, consulta, modificación y supresión.

Periodo de Retención

Durante la vigencia del Contrato principal. Tras su terminación, los Datos Personales se conservarán un máximo de 30 días a efectos de devolución o destrucción conforme a la Cláusula 10, salvo que una norma aplicable exija un plazo superior. Periodos mínimos legales: (i) registros contables y fiscales: 6 años (Ley 58/2003 LGT); (ii) contratos mercantiles: 6 años (art. 30 Código de Comercio); (iii) datos de comunicaciones electrónicas: hasta 12 meses (Ley 25/2007); (iv) datos laborales del personal del Cliente: 4 años (LGSS).

Datos de Categorías Especiales

No están previstos. Si fuera aplicable, se requerirá autorización expresa y específica por escrito.

 

 

Anexo II — Medidas técnicas y organizativas de seguridad

 

Medida

Detalle

Cifrado

Datos en tránsito: TLS 1.3. Datos en reposo: AES-256.

Control de acceso

Control de acceso basado en roles (RBAC), autenticación multifactor (MFA), principio de mínimo privilegio.

Monitorización

Registros de acceso 24/7, sistemas de detección de intrusiones (IDS/IPS).

Copias de seguridad

Copias de seguridad diarias; restauración comprobada trimestralmente.

Pruebas de penetración

Pruebas de penetración independientes anuales por terceros certificados; simulacros de respuesta a incidentes.

Formación

Formación anual en protección de datos para todo el personal con acceso a Datos Personales.

Certificación

SGSI certificado ISO/IEC 27001:2022. Informes SOC 2 Tipo II disponibles a petición.

Seudonímización

Aplicada donde sea técnicamente viable y proporcionada al riesgo.

Respuesta a incidentes

Plan documentado de respuesta a incidentes; equipo de respuesta a brechas disponible 24/7.

Infraestructura cloud

AWS París (EU-West-3); cumplimiento RGPD; acuerdos de transferencia mediante CCT y Decisión de Adecuación UE-EE.UU. (DPF) según proceda.

 

 

Anexo III — Lista de Subencargados

Los siguientes Subencargados están autorizados en la fecha del presente DPA. Las actualizaciones se publican en https://www.fracttal.com/subprocessors con al menos 30 días de antelación.

 

Subencargado

Servicio

Ubicación

Mecanismo de transferencia

Relación con MCP

Amazon Web Services (AWS)

Infraestructura cloud y alojamiento

UE — París (eu-west-3) y Países Bajos

RGPD + CCT + Adecuación

Sí — infraestructura del endpoint MCP

HubSpot, Inc.

CRM y automatización de marketing

EE.UU.

CCT + TIA

No

Twilio Inc.

Mensajería y notificaciones

EE.UU.

CCT + TIA

No

Zendesk, Inc.

Soporte al cliente

EE.UU.

CCT + TIA

No

WhatsApp (Meta Platforms)

Notificaciones

EE.UU.

CCT + TIA

No

OpenAI, L.L.C.

IA — Fracttal AI (Tony)

EE.UU.

CCT + TIA

No — exclusivo de Fracttal AI

 

Anexo IV — Procedimiento de notificación de brechas de seguridad

 

Fase

Plazo

Acción

Detección y evaluación

< 24 horas desde el conocimiento

El equipo de Seguridad de Fracttal identifica, clasifica y evalúa el alcance e impacto de la brecha.

Notificación inicial al Cliente

< 48 horas desde el conocimiento

Aviso escrito preliminar vía correo electrónico al contacto designado del Cliente, incluyendo: descripción de la brecha, categorías de datos afectados, evaluación inicial del riesgo y medidas provisionales adoptadas.

Informe completo del incidente

< 72 horas desde el conocimiento

Informe detallado que incluye: análisis de causa raíz, alcance completo de los datos afectados, número de interesados impactados, medidas definitivas de mitigación y plan de remediación.

Cooperación regulatoria

Según proceda

Fracttal asiste al Cliente en la notificación a la autoridad de control competente (AEPD, SIC, ANPD, INAI, etc.) y a los interesados afectados, cuando así lo exijan los artículos 33 y 34 del RGPD o la normativa local equivalente.

Revisión post-incidente

En un plazo de 30 días

Fracttal proporciona un informe post-incidente con lecciones aprendidas y medidas preventivas implementadas.

 

Contacto de privacidad y brechas de Fracttal: privacidad@fracttal.com