Anexo de Encargo del Tratamiento (DPA) — MycoLegal
Última actualización: 25 de mayo de 2026 · Versión: 1.0
Este Anexo forma parte de las Condiciones Generales y regula el tratamiento de datos personales que MYCO LEGALTECH SLP ("MycoLegal", el Encargado) realiza por cuenta del Cliente (la organización contratante, el Responsable) al prestar las Aplicaciones, conforme al art. 28 del Reglamento (UE) 2016/679 (RGPD) y a la LOPDGDD.
1. Objeto y papel de las partes
El Responsable determina los fines y medios del tratamiento de los datos personales que introduce y gestiona a través de las Aplicaciones. El Encargado trata dichos datos únicamente siguiendo las instrucciones documentadas del Responsable y para prestar el servicio contratado.
2. Detalle del tratamiento
- Naturaleza y finalidad: alojamiento, procesamiento y puesta a disposición de los datos necesarios para la operativa de las Aplicaciones contratadas.
- Duración: mientras esté vigente el contrato de servicio.
- Tipo de datos: datos identificativos y de contacto de clientes, interesados y comparecientes; datos de expedientes y documentos notariales; identificadores fiscales; y, en su caso, categorías especiales o datos sensibles que el Responsable decida incorporar.
- Categorías de interesados: clientes, otorgantes, comparecientes, interesados y terceros que figuren en los expedientes del Responsable.
3. Obligaciones del Encargado
El Encargado se obliga a:
a) Tratar los datos solo según instrucciones documentadas del Responsable, incluidas las relativas a transferencias internacionales. b) Garantizar la confidencialidad del personal autorizado. c) Aplicar las medidas de seguridad del art. 32 RGPD (ver §6). d) Respetar las condiciones para recurrir a subencargados (§4). e) Asistir al Responsable para atender los derechos de los interesados. f) Ayudar al Responsable en el cumplimiento de los arts. 32 a 36 (seguridad, notificación de brechas y evaluaciones de impacto). g) A elección del Responsable, suprimir o devolver los datos al término del servicio y eliminar las copias, salvo conservación exigida por ley. h) Poner a disposición del Responsable la información necesaria para demostrar el cumplimiento y permitir auditorías. i) Informar al Responsable si, a su juicio, una instrucción infringe la normativa de protección de datos.
4. Subencargados
El Responsable autoriza de forma general al Encargado a recurrir a los siguientes subencargados, con contrato que les imponga las mismas obligaciones:
| Subencargado | Servicio | Ubicación |
|---|---|---|
| Google Cloud Platform | Infraestructura y alojamiento | UE |
| Resend | Correo transaccional | EE.UU. |
| Stripe | Pagos | UE/EE.UU. |
| Twilio | Verificación SMS | EE.UU. |
| Google Vertex AI / Gemini | Funciones de IA | UE |
El Encargado informará de cualquier cambio de subencargados con antelación razonable, pudiendo el Responsable oponerse por motivos justificados.
5. Transferencias internacionales
Cualquier transferencia fuera del EEE se amparará en las garantías del Capítulo V del RGPD (decisión de adecuación o cláusulas contractuales tipo) y, cuando proceda, en medidas adicionales.
6. Medidas de seguridad
El Encargado aplica, entre otras: cifrado en tránsito (TLS) y en reposo, control de accesos basado en roles y mínimo privilegio, segregación por organización, registro de auditoría, copias de seguridad y procedimientos de continuidad, y gestión de vulnerabilidades. El detalle se mantiene en el Anexo Técnico de Medidas de Seguridad.
7. Brechas de seguridad
El Encargado notificará al Responsable sin dilación indebida (y, en todo caso, en un plazo orientativo de 72 horas desde que tenga constancia) cualquier violación de la seguridad que afecte a datos personales, aportando la información necesaria para que el Responsable cumpla sus obligaciones de notificación.
8. Devolución o supresión
Al finalizar la prestación, el Responsable podrá exportar los datos durante 30 días. Transcurrido ese plazo, el Encargado los suprimirá de forma segura, salvo obligación legal de conservación.
9. Responsabilidad
Cada parte responde de los daños derivados del incumplimiento de las obligaciones que le incumben conforme al RGPD, en los términos del art. 82.