WhatsApp
Soy gestoría Soy autónomo/a Soy PYME Eventos Ver Planes App IAhoy

TRATAMIENTO DE DATOS – IAHOY

Contrato de encargado de tratamiento conforme al artículo 28.3 del Reglamento (UE) 2016/679 General de Protección de Datos.

Versión: 1.0 Abril 2026

Reunidos

De una parte, el cliente de IAhoy, en adelante, el RESPONSABLE del tratamiento.

Y de otra parte, Nucleoo Solutions SL (IAhoy), con domicilio en Calle de San Mateo Nº10, Bajo. 28004, Madrid, España y NIF/CIF B19579556, en adelante, el ENCARGADO del tratamiento.

Ambas partes se reconocen mutuamente la capacidad legal bastante para suscribir este contrato y quedar obligadas en la representación en que respectivamente actúan.

Exponen

Que el Reglamento General de Protección de Datos (Reglamento UE 2016/679 del Parlamento Europeo y del Consejo), en adelante RGPD, establece que el tratamiento de datos personales por parte de un encargado se regirá por un contrato u otro acto jurídico. El contenido de dicho contrato se regula en el artículo 28.3 del RGPD.

Estipulaciones

1. Objeto del encargo

Mediante las presentes cláusulas se habilita a Nucleoo Solutions SL, ENCARGADO del tratamiento, para tratar por cuenta del RESPONSABLE los datos de carácter personal necesarios para la prestación del servicio IAhoy, que incluye funcionalidades de gestión de la facturación, comunicación, documentación y automatización de procesos mediante inteligencia artificial, entre otros.

El tratamiento de datos personales incluirá los siguientes aspectos:

  • Recogida
  • Registro
  • Estructuración
  • Modificación
  • Conservación
  • Extracción
  • Consulta
  • Comunicación por transmisión
  • Difusión
  • Interconexión
  • Cotejo
  • Limitación
  • Supresión
  • Destrucción
  • Comunicación

2. Identificación de la información afectada

Para la ejecución de las prestaciones derivadas del cumplimiento del objeto de este encargo, el RESPONSABLE del tratamiento autoriza al ENCARGADO del tratamiento a tratar la información necesaria relacionada con la prestación del servicio de IAhoy.

3. Duración

El presente acuerdo tendrá la misma duración que el contrato de prestación de servicios suscrito entre las partes.

4. Devolución de los datos

Una vez finalice el presente acuerdo:

El ENCARGADO devolverá al RESPONSABLE (o al encargado del tratamiento que designe el RESPONSABLE) o, en su caso, destruirá los datos de carácter personal y, si procede, los soportes donde consten, una vez acabada la prestación. El retorno ha de comportar el borrado total de los datos existentes en los sistemas y documentos del ENCARGADO. No obstante, el ENCARGADO puede conservar una copia, con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades por la ejecución de la prestación.

5. Obligaciones del ENCARGADO

5.1 - Finalidad:

El ENCARGADO utilizará los datos personales objeto de tratamiento solo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios.

5.2 - Instrucciones del RESPONSABLE:

El ENCARGADO tratará los datos de acuerdo con las instrucciones del RESPONSABLE.

Si el ENCARGADO considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en materia de protección de datos de la Unión Europea o de los Estados miembros, el ENCARGADO informará inmediatamente al RESPONSABLE.

5.3 - Registro de actividades de tratamiento:

El ENCARGADO llevará un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del RESPONSABLE, que contendrá:

  • A. El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado y, en su caso, del representante del responsable o del encargado y del delegado de protección de datos.
  • B. Las categorías de tratamientos efectuados por cuenta de cada responsable.
  • C. En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49.1, párrafo segundo del RGPD-UE, la documentación de garantías adecuadas.
  • D. Una descripción general de las medidas técnicas y organizativas de seguridad relativas a:
    • a) La seudonimización y el cifrado de datos personales.
    • b) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
    • c) La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.
    • d) El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

5.4 - No comunicación:

El ENCARGADO no comunicará los datos a terceras personas, salvo que cuente con la autorización expresa y por escrito del RESPONSABLE o cuando concurra obligación legal.

El ENCARGADO puede comunicar los datos a otros encargados del tratamiento del mismo RESPONSABLE, de acuerdo con las instrucciones del RESPONSABLE. En este caso, el RESPONSABLE identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación.

5.5 - Transferencia internacional:

Si el ENCARGADO debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sea aplicable, informará al RESPONSABLE de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público.

5.6 - Subcontratación:

No se permite subcontratar ninguna de las prestaciones que formen parte del objeto de este contrato que comporte el tratamiento de datos personales, salvo los servicios auxiliares necesarios para el normal funcionamiento de los servicios del encargado.

Si fuera necesario subcontratar algún tratamiento, este hecho se deberá comunicar previamente y por escrito al responsable, con una antelación de dos meses, indicando los tratamientos que se pretende subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo si el responsable no manifiesta su oposición en el plazo establecido.

El subcontratista, que también tendrá la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el encargado del tratamiento y las instrucciones que dicte el responsable. Corresponde al encargado inicial regular la nueva relación de forma que el nuevo encargado quede sujeto a las mismas condiciones y con los mismos requisitos formales. En caso de incumplimiento por parte del subencargado, el ENCARGADO inicial seguirá siendo plenamente responsable ante el RESPONSABLE.

5.7 - Deber de secreto:

El ENCARGADO y todo su personal mantendrán el deber de secreto respecto a los datos de carácter personal a los que hayan tenido acceso en virtud del presente encargo, incluso después de que finalice el mismo.

5.8 - Compromisos de confidencialidad por escrito:

El ENCARGADO garantizará que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes.

El ENCARGADO mantendrá a disposición del RESPONSABLE la documentación acreditativa del cumplimiento de esta obligación.

5.9 - Formación de las personas autorizadas:

El ENCARGADO garantizará la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales.

5.10 - Asistencia en caso de ejercicio de derechos:

El ENCARGADO asistirá al RESPONSABLE en la respuesta al ejercicio de los derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento, portabilidad de datos y a no ser objeto de decisiones individuales automatizadas, incluida la elaboración de perfiles.

Cuando las personas afectadas ejerzan estos derechos ante el ENCARGADO, este debe comunicarlo por correo electrónico al RESPONSABLE. La comunicación debe hacerse de forma inmediata y en ningún caso más allá del día laborable siguiente al de la recepción de la solicitud, juntamente, en su caso, con otras informaciones que puedan ser relevantes para resolver la solicitud.

5.11 - Derecho de información:

Corresponde al RESPONSABLE facilitar el derecho de información en el momento de la recogida de los datos, salvo que dicha recogida se realice por parte del ENCARGADO, en cuyo caso el RESPONSABLE le facilitará las pautas para informar a los interesados.

5.12 - Notificación de violaciones de la seguridad:

El ENCARGADO notificará al RESPONSABLE, sin dilación indebida y, en cualquier caso, antes del plazo máximo de 24 horas, las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante. Se facilitará, como mínimo, la información siguiente:

  • a) Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados y de registros afectados.
  • b) El nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto del ENCARGADO en el que pueda obtenerse más información.
  • c) Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.
  • d) Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.

El ENCARGADO realizará esta comunicación a través de correo marcado como URGENTE a la dirección de correo electrónico facilitada por el RESPONSABLE.

Comunicación a las Autoridades de Protección de Datos: corresponde al RESPONSABLE comunicar las violaciones de la seguridad de los datos a la Autoridad de Protección de Datos.

Comunicación a los interesados: corresponderá al RESPONSABLE comunicar las violaciones de la seguridad de los datos a los interesados, cuando sea necesario. El ENCARGADO prestará el apoyo necesario para que el RESPONSABLE pueda realizar dicha comunicación en el menor tiempo posible.

5.13 - Apoyo en realización de evaluaciones de impacto para la protección de datos:

El ENCARGADO dará apoyo al RESPONSABLE en la realización de las evaluaciones de impacto relativas a la protección de datos, cuando proceda.

5.14 - Apoyo en la realización de consultas previas a las autoridades de control:

El ENCARGADO dará apoyo al RESPONSABLE en la realización de las consultas previas a la autoridad de control, cuando proceda.

5.15 - Cumplimiento de las obligaciones:

El ENCARGADO pondrá a disposición del RESPONSABLE toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de auditorías o inspecciones que realicen el RESPONSABLE u otro auditor autorizado por él.

5.16 - Medidas de seguridad

El ENCARGADO aplicará como mínimo las medidas de seguridad que permitan:

  • a) Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
  • b) Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.
  • c) Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento.
  • d) Seudonimizar y cifrar los datos personales, en su caso.

5.17 - Delegado de Protección de Datos:

El ENCARGADO comunicará la identidad y los datos de contacto del Delegado de Protección de Datos al RESPONSABLE, siempre y cuando su nombramiento resulte obligatorio o el ENCARGADO haya procedido a nombrarlo de forma voluntaria.

Obligaciones del RESPONSABLE

Corresponde al RESPONSABLE del tratamiento:

  • a) Entregar al ENCARGADO los datos necesarios para la prestación de servicios a los que se refiere este acuerdo.
  • b) Realizar, cuando así lo exija la normativa, una evaluación de impacto en la protección de datos personales de las operaciones de tratamiento a realizar por el ENCARGADO.
  • c) Realizar las consultas previas que correspondan ante las autoridades de control.
  • d) Velar, de forma previa y durante todo el tratamiento, por el cumplimiento del RGPD por parte del ENCARGADO.
  • e) Supervisar el tratamiento de los datos, incluida la realización de inspecciones y auditorías.

Incumplimiento:

El incumplimiento por parte del ENCARGADO de las obligaciones referidas en el presente acuerdo comportará que sea considerado también responsable del tratamiento, respondiendo ante las Autoridades de Protección de Datos o ante cualquier tercera persona de las infracciones que se puedan haber cometido derivadas de la ejecución del presente acuerdo y/o del cumplimiento de la legislación vigente en materia de protección de datos de carácter personal.

Responsabilidad:

Tanto el RESPONSABLE como el ENCARGADO responderán de la totalidad de los daños y perjuicios que se irroguen a la otra parte en todos los supuestos de conducta negligente o culposa en el cumplimiento de las obligaciones que respectivamente les incumben.

Ninguna de las partes asumirá responsabilidad alguna por la no ejecución o el retraso en la ejecución de cualquiera de las obligaciones en virtud del presente acuerdo si tal falta de ejecución o retraso resultara o fuera consecuencia de un supuesto de fuerza mayor o caso fortuito admitido como tal por la jurisprudencia.

Confidencialidad:

El ENCARGADO garantiza que mantendrá la más estricta confidencialidad y el expreso cumplimiento del deber de secreto profesional en relación con los asuntos del RESPONSABLE durante la vigencia de la prestación de servicios y después de su terminación.

El ENCARGADO, durante y con posterioridad a la vigencia de este acuerdo, tratará toda información propiedad del RESPONSABLE de forma estrictamente confidencial, tomando las medidas necesarias para que su contenido no se divulgue a terceros ni estos puedan tener acceso a los mismos sin autorización expresa del RESPONSABLE.

A los efectos del presente acuerdo, tendrá la consideración de información confidencial toda aquella susceptible de ser revelada por palabra, por escrito o por cualquier otro medio o soporte, tangible o intangible, actualmente conocido o que se invente en un futuro.

Notificaciones:

Toda notificación necesaria a los efectos del presente acuerdo se hará por escrito a la atención y dirección de quien consta en el encabezamiento del presente acuerdo.

Generalidades:

Este contrato contiene el total acuerdo entre las partes sobre el mismo objeto y sustituye y reemplaza a cualquier acuerdo anterior, verbal o escrito, al que hubieran llegado las partes en materia de protección de datos. Asimismo, en caso de contradicción en materia de protección de datos entre las condiciones estipuladas en el presente acuerdo y cualquier otro firmado con anterioridad entre ambas partes, prevalecerá lo estipulado en el presente acuerdo.

Nada de lo estipulado en el presente acuerdo supone identidad de partes, o que una sea considerada el agente de la otra. Ninguna parte responderá de cualquier declaración, acto u omisión de la otra parte que fuese contrario a lo anterior.

Cualquier modificación del contenido de este acuerdo, sólo será efectiva si se realiza por escrito y con el consentimiento de ambas partes.

La no exigencia por cualquiera de las partes de cualquiera de sus derechos de conformidad con el presente acuerdo no se considerará que constituya una renuncia de dichos derechos en el futuro.

Los documentos contractuales son, en orden de prioridad, el presente contrato y sus anexos. En caso de contradicción el contrato prevalecerá sobre los anexos.

Legislación y jurisdicción:

El presente acuerdo se regirá e interpretará conforme a la legislación española en todo aquello que no esté expresamente regulado, sometiéndose las partes, para las controversias que pudieran surgir en relación al mismo, a la competencia de los Juzgados y Tribunales de la ciudad señalada en el encabezamiento, con renuncia a cualquier otro fuero que les pudiera corresponder.

🍪 Uso de Cookies

Utilizamos cookies necesarias para el funcionamiento del sitio web y cookies de terceros para análisis y marketing. Al hacer clic en "Aceptar todas", consientes el uso de todas las cookies. Más información

Configuración de Cookies

Cookies Necesarias

Siempre activo

Estas cookies son necesarias para el funcionamiento básico del sitio web.

Cookies: sessionid, csrftoken, cookies_consent

Cookies de Análisis

Nos ayudan a entender cómo los visitantes interactúan con nuestro sitio web.

Servicio: Google Analytics
Cookies: _ga, _ga_*, _gid

Cookies de Marketing

Se utilizan para mostrar anuncios más relevantes para ti.

Servicio: Facebook Pixel
Cookies: _fbp, fr