ANEXO I: ACUERDO DE TRATAMIENTO DE DATOS (DPA)

Data Processing Agreement según Reglamento (UE) 2016/679 (RGPD)

Documento vinculado a: Términos y Condiciones de Uso del Servicio de Chatbot

📌 Importante: Este Acuerdo de Tratamiento de Datos (DPA) forma parte integrante de los Términos y Condiciones de Uso y es de obligado cumplimiento conforme al artículo 28 del Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD).

1. DEFINICIONES

A los efectos del presente Acuerdo, se entenderá por:

a) Responsable del Tratamiento: El Cliente que contrata el Servicio de chatbot y que determina los fines y medios del tratamiento de los datos personales de sus usuarios finales.

b) Encargado del Tratamiento: Eloy Garrido Castro, operando bajo el nombre comercial Solneko, que presta el Servicio de chatbot y trata datos personales en nombre y por cuenta del Responsable.

c) Subencargado del Tratamiento: Terceros autorizados por el Encargado para realizar actividades específicas de tratamiento de datos en nombre del Responsable.

d) Datos Personales: Toda información sobre una persona física identificada o identificable contenida en las conversaciones del chatbot.

e) Tratamiento: Cualquier operación realizada sobre datos personales, incluyendo recopilación, registro, organización, estructuración, conservación, adaptación, recuperación, consulta, utilización, comunicación, cotejo, limitación, supresión o destrucción.

f) Interesado: Usuario final del Cliente que interactúa con el chatbot y cuyos datos personales son tratados.

g) Brecha de Seguridad: Toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

2. OBJETO Y NATURALEZA DEL TRATAMIENTO

2.1. Objeto: El presente DPA tiene por objeto regular las condiciones bajo las cuales el Encargado realizará tratamientos de datos personales en nombre del Responsable, en el marco de la prestación del Servicio de chatbot.

2.2. Naturaleza del tratamiento: El Encargado tratará los datos personales exclusivamente para las siguientes finalidades:

Procesamiento de conversaciones mediante tecnología de inteligencia artificial (API de OpenAI)
Almacenamiento temporal de conversaciones para análisis de calidad del servicio
Generación de métricas y estadísticas agregadas sobre el uso del chatbot
Mejora del servicio y entrenamiento de modelos personalizados (solo con autorización expresa)
Soporte técnico y resolución de incidencias reportadas por el Responsable

2.3. Duración del tratamiento: El Encargado tratará los datos personales durante el período de vigencia del contrato de prestación de servicios y, tras su finalización, únicamente durante el tiempo necesario para cumplir con obligaciones legales o contractuales.

3. TIPOS DE DATOS Y CATEGORÍAS DE INTERESADOS

3.1. Tipos de datos personales tratados

El Encargado podrá tratar, según la configuración y uso específico del Responsable, las siguientes categorías de datos:

Categoría de datos	Descripción
Datos identificativos	Nombre, apellidos, nombre de usuario, identificadores de sesión
Datos de contacto	Correo electrónico, número de teléfono (si proporcionado por el usuario)
Datos de navegación	Dirección IP, timestamps, metadata de sesión
Contenido de conversaciones	Mensajes de texto intercambiados con el chatbot
Datos de uso	Interacciones, clics, tiempo de sesión, flujos conversacionales

⚠️ Categorías especiales de datos (Art. 9 RGPD):

El Responsable se compromete a NO introducir ni permitir que sus usuarios finales compartan datos especialmente protegidos (origen étnico o racial, opiniones políticas, convicciones religiosas, afiliación sindical, datos genéticos, biométricos, salud, vida sexual u orientación sexual) a través del chatbot, salvo que se haya acordado expresamente por escrito con el Encargado y se hayan implementado medidas de seguridad reforzadas.

En caso de que accidentalmente se reciban este tipo de datos, el Responsable será notificado inmediatamente para su eliminación.

3.2. Categorías de interesados

Clientes del Responsable (consumidores, usuarios de servicios)
Visitantes del sitio web del Responsable
Potenciales clientes (leads) que interactúan con el chatbot
Cualquier persona que utilice el canal de comunicación donde esté integrado el chatbot

4. OBLIGACIONES DEL ENCARGADO DEL TRATAMIENTO

El Encargado se compromete a:

4.1. Tratamiento conforme a instrucciones

Tratar los datos personales únicamente siguiendo las instrucciones documentadas del Responsable
No utilizar los datos para finalidades distintas a las establecidas en este DPA
Notificar inmediatamente al Responsable si considera que alguna instrucción infringe el RGPD u otra normativa de protección de datos

4.2. Confidencialidad

Garantizar que el personal autorizado para tratar datos personales esté sujeto a un deber de confidencialidad mediante contrato o deber legal equivalente
Proporcionar formación adecuada en protección de datos a todo el personal con acceso a datos personales
Limitar el acceso a los datos personales únicamente al personal que necesite conocerlos para la prestación del Servicio

4.3. Medidas de seguridad

Implementar y mantener medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, incluyendo como mínimo:

Medidas técnicas:

Cifrado de datos en tránsito (TLS 1.2 o superior) y en reposo (AES-256 o equivalente)
Seudonimización de datos cuando sea técnicamente posible
Control de acceso mediante autenticación multifactor para personal autorizado
Sistemas de detección de intrusiones y monitorización de seguridad
Copias de seguridad periódicas y cifradas de los datos
Procedimientos seguros de eliminación de datos
Auditorías de seguridad regulares y test de penetración

Medidas organizativas:

Política de seguridad de la información documentada
Gestión de contraseñas y credenciales de acceso
Registro de accesos a datos personales
Procedimientos de respuesta ante incidentes de seguridad
Evaluaciones de impacto de privacidad cuando proceda

4.4. Subencargados del tratamiento

4.4.1. Autorización: El Responsable autoriza expresamente al Encargado a contratar los siguientes subencargados:

Subencargado	Servicio prestado	Ubicación
OpenAI, Inc.	Procesamiento de lenguaje natural mediante API (modelos GPT)	Estados Unidos
OVHcloud	Almacenamiento y hosting de infraestructura	Unión Europea

4.4.2. Nuevos subencargados: El Encargado informará al Responsable con al menos 30 días de antelación sobre cualquier cambio previsto en la incorporación o sustitución de subencargados. El Responsable podrá oponerse por motivos relacionados con la protección de datos dentro de dicho plazo.

4.4.3. Obligaciones: El Encargado se asegurará de que los subencargados cumplan las mismas obligaciones de protección de datos establecidas en este DPA, mediante contrato escrito.

4.4.4. Lista actualizada: La lista completa y actualizada de subencargados está disponible públicamente en: aquí

4.5. Ejercicio de derechos de los interesados

4.5.1. El Encargado asistirá al Responsable, mediante medidas técnicas y organizativas apropiadas, en la medida en que sea posible, para que el Responsable pueda cumplir con su obligación de responder a las solicitudes de ejercicio de los siguientes derechos:

Derecho de acceso: Proporcionar copia de los datos tratados
Derecho de rectificación: Corregir datos inexactos
Derecho de supresión ("derecho al olvido"): Eliminar datos cuando proceda
Derecho de limitación del tratamiento: Bloquear temporalmente el tratamiento
Derecho de portabilidad: Facilitar datos en formato estructurado y legible
Derecho de oposición: Cesar el tratamiento en determinadas circunstancias

4.5.2. Procedimiento: Cuando un interesado contacte directamente al Encargado para ejercer sus derechos:

El Encargado notificará al Responsable en un plazo máximo de 48 horas
El Encargado proporcionará al Responsable toda la información necesaria para atender la solicitud
El Responsable será quien responda formalmente al interesado, siendo responsable de la decisión final

4.5.3. Plazo de asistencia: El Encargado facilitará los datos o realizará las acciones técnicas necesarias en un plazo máximo de 7 días naturales desde la solicitud del Responsable.

4.5.4. Herramientas: El Encargado proporcionará al Responsable acceso a herramientas en el panel de control para:

Buscar conversaciones por identificador de usuario
Exportar datos en formato CSV/JSON
Eliminar conversaciones de forma permanente
Anonimizar datos personales manteniendo utilidad analítica

4.6. Notificación de brechas de seguridad

4.6.1. Obligación de notificación: En caso de brecha de seguridad que afecte a datos personales, el Encargado notificará al Responsable sin dilación indebida y, a más tardar, en un plazo de 24 horas desde que tenga conocimiento de la misma.

4.6.2. Contenido de la notificación:

Descripción de la naturaleza de la brecha (tipo de incidente, cómo ocurrió)
Categorías y número aproximado de interesados afectados
Categorías y número aproximado de registros de datos afectados
Posibles consecuencias de la brecha
Medidas adoptadas o propuestas para remediar la brecha y mitigar efectos adversos
Datos de contacto del responsable de la gestión del incidente

4.6.3. Colaboración: El Encargado colaborará activamente con el Responsable en:

Evaluación del riesgo para los derechos y libertades de los interesados
Elaboración de la comunicación a la autoridad de control (AEPD en España)
Comunicación a los interesados si fuera necesario
Implementación de medidas correctivas

4.6.4. Es responsabilidad del Responsable decidir si la brecha debe notificarse a la autoridad de control o a los interesados, conforme a los artículos 33 y 34 del RGPD.

4.7. Apoyo en evaluaciones de impacto y consultas previas

Asistir al Responsable en la realización de evaluaciones de impacto relativas a la protección de datos (EIPD) cuando el tipo de tratamiento entrañe alto riesgo
Cooperar con el Responsable en consultas previas a la autoridad de control cuando proceda
Proporcionar información sobre las medidas de seguridad implementadas y cualquier documentación técnica necesaria

4.8. Conservación y eliminación de datos

4.8.1. Plazos de conservación: El Encargado conservará los datos personales según los siguientes períodos (configurables por el Responsable):

Conversaciones completas: Por defecto 90 días, configurable entre 30 y 180 días
Datos analíticos agregados: Indefinidamente (datos anonimizados, no sujetos a RGPD)
Logs de seguridad: 12 meses
Backups: 30 días en sistemas de backup, luego eliminación automática

4.8.2. Eliminación automática: El Encargado implementa procesos automatizados de eliminación que ejecutan permanentemente la supresión de datos al vencimiento de los plazos establecidos.

4.8.3. Destino de los datos tras finalización del contrato: Una vez finalizado el contrato, el Encargado, a elección del Responsable:

Suprimirá todos los datos personales y confirmará por escrito su eliminación completa, o
Devolverá todos los datos personales en formato estructurado (CSV/JSON) y eliminará todas las copias existentes

Esta operación se completará en un plazo máximo de 30 días desde la finalización del contrato, salvo que la legislación aplicable exija la conservación de datos.

4.9. Auditorías e inspecciones

4.9.1. El Encargado pondrá a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en este DPA.

4.9.2. El Responsable o un auditor autorizado podrán realizar inspecciones, incluidas auditorías, previa notificación por escrito con al menos 15 días de antelación.

4.9.3. El Encargado facilitará las auditorías y cooperará razonablemente, pudiendo acordarse limitaciones para proteger la confidencialidad de otros clientes o información sensible.

4.9.4. Las auditorías se realizarán durante horario laboral y no podrán interferir desproporcionadamente con las operaciones del Encargado.

4.9.5. Como alternativa, el Encargado podrá proporcionar certificaciones vigentes (SOC2, ISO27001, etc.) que demuestren el cumplimiento de las medidas de seguridad.

5. OBLIGACIONES DEL RESPONSABLE DEL TRATAMIENTO

El Responsable se obliga a:

5.1. Legitimación del tratamiento

Contar con la base jurídica adecuada para el tratamiento de datos (consentimiento, ejecución de contrato, interés legítimo, etc.)
Obtener el consentimiento de los interesados cuando sea necesario, antes de utilizar el Servicio
Informar claramente a los interesados sobre el tratamiento de sus datos mediante el chatbot

5.2. Información a los interesados

El Responsable incluirá en su Política de Privacidad información sobre:

El uso de servicios de chatbot prestados por Solneko
La utilización de tecnología de inteligencia artificial (OpenAI)
Las finalidades del tratamiento (atención al cliente, análisis de calidad)
Los plazos de conservación de las conversaciones
Las transferencias internacionales a terceros países (OpenAI en EEUU)
Los derechos de los interesados y cómo ejercerlos

Texto sugerido para la Política de Privacidad del Responsable:

Chatbot de Atención al Cliente

Utilizamos un servicio de chatbot proporcionado por SolnekoChat (chat.solneko.es) para atender sus consultas de manera eficiente.

Datos tratados: Las conversaciones que mantenga con nuestro chatbot, incluyendo los mensajes que envíe, su identificador de sesión y metadatos técnicos (fecha, hora, IP).

Finalidad: Proporcionar asistencia automatizada a través del chatbot y analizar la calidad del servicio para mejorarlo.

Procesamiento mediante IA: El chatbot utiliza tecnología de inteligencia artificial proporcionada por OpenAI Inc. (Estados Unidos) para generar respuestas. Sus mensajes serán procesados por este servicio.

Conservación: Las conversaciones se conservan durante [7/90/365] días y después se eliminan automáticamente. Los datos analíticos agregados (sin identificación personal) se conservan indefinidamente.

Transferencias internacionales: Sus datos pueden ser transferidos a Estados Unidos (OpenAI) bajo garantías adecuadas mediante Cláusulas Contractuales Estándar de la Comisión Europea. OpenAI retiene los mensajes procesados hasta un máximo de 30 días con fines exclusivos de detección de uso abusivo, tras lo cual los elimina automáticamente. OpenAI no utiliza estos datos para entrenar sus modelos.

Sus derechos: Puede ejercer sus derechos de acceso, rectificación, supresión, limitación, portabilidad y oposición contactando con nosotros en [tu email]. También puede presentar una reclamación ante la Agencia Española de Protección de Datos (www.aepd.es).

Base legal: Interés legítimo (Art. 6.1.f RGPD). Procesamos sus mensajes del chatbot en base a nuestro interés legítimo en proporcionar asistencia eficiente y mejorar nuestro servicio de atención al cliente. Usted puede oponerse a este tratamiento en cualquier momento contactándonos en [tu email] o simplemente no utilizando el chatbot.

5.3. Configuración del widget

Configurar el chatbot para mostrar un aviso de privacidad visible antes de que el usuario inicie la conversación
Incluir enlace a la Política de Privacidad en el widget del chatbot
Implementar mecanismos de obtención de consentimiento cuando sea necesario

5.4. Datos sensibles

Advertir a los usuarios finales que NO deben compartir categorías especiales de datos (Art. 9 RGPD) a través del chatbot
No configurar el chatbot para solicitar activamente datos sensibles sin autorización previa del Encargado

5.5. Instrucciones

Proporcionar instrucciones claras y documentadas al Encargado sobre el tratamiento de datos
No dar instrucciones que infrinjan el RGPD u otra normativa aplicable

6. TRANSFERENCIAS INTERNACIONALES DE DATOS

6.1. Transferencias a terceros países: En virtud del uso de OpenAI Inc. (Estados Unidos) como subencargado, se producirán transferencias internacionales de datos personales a un país tercero.

6.2. Garantías adecuadas: Estas transferencias se realizan sobre la base de las siguientes garantías:

Cláusulas Contractuales Estándar (SCC): OpenAI ha suscrito las Cláusulas Contractuales Estándar aprobadas por la Comisión Europea (Decisión 2021/914)
Medidas suplementarias: Cifrado de extremo a extremo, minimización de datos, evaluaciones de riesgo periódicas

6.3. Evaluación de transferencias: El Encargado ha evaluado que las leyes de EEUU no impiden que OpenAI cumpla con las garantías establecidas en las SCC, y que existen medidas técnicas y organizativas adecuadas para proteger los datos.

6.4. Información adicional: El Responsable puede solicitar copia de las SCC y de las evaluaciones de impacto de transferencias internacionales.

6.5. No se realizarán transferencias a otros terceros países sin el consentimiento previo del Responsable y sin garantías adecuadas.

7. RESPONSABILIDAD Y LIMITACIÓN

7.1. Responsabilidad del Encargado: El Encargado será responsable ante el Responsable de los daños y perjuicios causados por el incumplimiento de las obligaciones establecidas en este DPA.

7.2. Responsabilidad ante autoridades: Conforme al artículo 82 del RGPD:

El Encargado solo será responsable de los daños causados por el tratamiento cuando no haya cumplido las obligaciones del RGPD dirigidas específicamente a encargados, o cuando haya actuado al margen o en contra de las instrucciones del Responsable
El Responsable será responsable cuando el tratamiento lo haya decidido efectivamente el Responsable

7.3. Límites de responsabilidad: Sin perjuicio de lo anterior, la responsabilidad del Encargado frente al Responsable estará limitada conforme a lo establecido en la Sección 11 de los Términos y Condiciones de Uso.

7.4. Indemnización: El Responsable indemnizará al Encargado por reclamaciones, multas o sanciones derivadas de:

Instrucciones del Responsable que infrinjan la normativa de protección de datos
Falta de base legal adecuada para el tratamiento por parte del Responsable
Incumplimiento del Responsable de sus obligaciones de información a interesados

8. REGISTRO DE ACTIVIDADES DE TRATAMIENTO

8.1. El Encargado mantendrá un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del Responsable, conforme al artículo 30.2 del RGPD.

8.2. Este registro incluirá, como mínimo:

Nombre y datos de contacto del Encargado y de cada Responsable por cuenta del cual actúa
Categorías de tratamientos efectuados por cuenta de cada Responsable
Transferencias de datos a terceros países, con identificación del país y garantías
Descripción general de las medidas técnicas y organizativas de seguridad

8.3. El Encargado pondrá el registro a disposición de la autoridad de control cuando lo solicite.

9. MEDIDAS DE SEGURIDAD Y CERTIFICACIONES

9.1. Seguridad de la infraestructura: La infraestructura técnica del Servicio se aloja en OVHcloud, un proveedor de hosting europeo que mantiene certificaciones públicas de seguridad (disponibles en https://www.ovhcloud.com/es-es/compliance/). Las medidas de seguridad de OVHcloud (cifrado, backups, acceso restringido, monitorización) aplican a los datos almacenados en el Servicio.

9.2. Certificaciones del Encargado: El Encargado no mantiene certificaciones formales independientes (ISO 27001, SOC 2, etc.), pero implementa prácticas de seguridad acordes al RGPD y la industria, incluyendo:

Control de acceso a sistemas basado en autenticación segura
Cifrado de datos en tránsito (TLS 1.3) y en reposo (AES-256)
Backups automáticos y planes de recuperación ante desastres
Monitorización de seguridad y auditoría de accesos
Pruebas de seguridad y escaneo de vulnerabilidades

9.3. Responsabilidad del Responsable: El Responsable es responsable de:

Configurar el Servicio de forma segura (p. ej., mantener credenciales confidenciales)
Notificar al Encargado de cualquier brecha o incidente de seguridad detectado
Garantizar que sus usuarios finales proporcionan datos únicamente a través del widget autorizado
Implementar controles adicionales si considera que es necesario (p. ej., verificación de identidad previa)

9.4. Auditorías: El Responsable podrá solicitar información sobre las medidas de seguridad implementadas. El Encargado facilitará evidencia mediante documentación técnica, informes de auditoría de terceros (si existen), o certificaciones de OVHcloud, conforme a lo establecido en la cláusula 4.9.

10. DURACIÓN Y RESOLUCIÓN

10.1. Vigencia: Este DPA entrará en vigor en la misma fecha que el contrato de prestación de servicios y permanecerá vigente durante toda su duración.

10.2. Efectos de la resolución: La finalización del contrato de prestación de servicios conllevará automáticamente la finalización de este DPA.

10.3. Obligaciones post-contractuales: Tras la finalización, el Encargado seguirá obligado por el deber de confidencialidad y por las obligaciones de supresión o devolución de datos establecidas en la cláusula 4.8.3.

10.4. Las cláusulas relativas a responsabilidad, confidencialidad y limitación de responsabilidad sobrevivirán a la finalización de este DPA.

11. MODIFICACIONES DEL DPA

11.1. El Encargado podrá modificar este DPA para adaptarlo a cambios normativos o mejoras en las medidas de seguridad.

11.2. Cualquier modificación será notificada al Responsable con al menos 30 días de antelación a su entrada en vigor.

11.3. Si el Responsable no acepta las modificaciones y éstas son sustanciales, podrá resolver el contrato sin penalización dentro del plazo de notificación.

12. LEGISLACIÓN APLICABLE Y JURISDICCIÓN

12.1. Este DPA se rige por:

Reglamento (UE) 2016/679 (RGPD)
Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD)
Legislación española complementaria en materia de protección de datos

12.2. Para cualquier controversia derivada de este DPA, las partes se someten a los Juzgados y Tribunales de Sevilla.

13. CONTACTO Y DELEGADO DE PROTECCIÓN DE DATOS

Encargado del Tratamiento:

Eloy Garrido Castro

Nombre comercial: Solneko

Correo electrónico: solneko@solneko.es

Dirección: c/ de la Danza, 25, Mairena del Aljarafe, España

Delegado de Protección de Datos (DPO):

No designado. Según el Art. 37 del RGPD, la designación de un DPO no es obligatoria en este caso.

ANEXO A: MEDIDAS TÉCNICAS Y ORGANIZATIVAS DETALLADAS

(Documento confidencial que se proporcionará bajo acuerdo de confidencialidad en caso de auditoría o solicitud justificada)

Las medidas de seguridad implementadas incluyen, sin ser exhaustivo:

A.1. Control de acceso

Autenticación multifactor (MFA) para todo el personal con acceso a sistemas
Políticas de contraseñas robustas (mínimo 12 caracteres, rotación periódica)
Principio de mínimo privilegio y segregación de funciones
Registro y monitorización de accesos
Revisión periódica de permisos y revocación automática al cese de personal

A.2. Cifrado

TLS 1.3 para datos en tránsito (conexiones API, panel web)
AES-256 para datos en reposo (base de datos, backups)
Gestión segura de claves de cifrado (rotación, almacenamiento en HSM/KMS)

A.3. Continuidad y resiliencia

Backups automáticos diarios cifrados
Réplicas de base de datos en múltiples zonas de disponibilidad
Plan de recuperación ante desastres (RTO < 4 horas, RPO < 1 hora)
Pruebas de restauración periódicas

A.4. Seguridad de red

Firewalls y segmentación de red
Sistemas de detección/prevención de intrusiones (IDS/IPS)
Monitorización 24/7 de eventos de seguridad
Escaneo de vulnerabilidades trimestral

A.5. Desarrollo seguro

Revisión de código y análisis estático de seguridad
Entorno de desarrollo separado de producción
Gestión de dependencias y parches de seguridad

A.6. Gestión de incidentes

Procedimiento documentado de respuesta ante brechas
Equipo designado de gestión de incidentes
Canales de comunicación de emergencia
Post-mortem y mejora continua tras incidentes

A.7. Formación y concienciación

Formación inicial en protección de datos para nuevo personal
Formación anual de reciclaje en seguridad y privacidad
Simulacros de phishing y concienciación sobre ingeniería social

Versión 1.0 | Última actualización: 4 de abril de 2026