Protección de Datos · Artículo 28 RGPD

Acuerdo de Encargo del Tratamiento (DPA)

Entre la Agencia Inmobiliaria (Responsable del tratamiento) y RealE_IA (Encargado del tratamiento) · Fecha de emisión: [FECHA]

El presente Acuerdo de Encargo del Tratamiento (en adelante, el «Acuerdo» o «DPA») regula el tratamiento de datos personales que RealE_IA lleva a cabo por cuenta de la Agencia cliente en el marco de la prestación del servicio de CRM inmobiliario con inteligencia artificial (asistente «Jaël»), de conformidad con el artículo 28 del Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD).

Identificación de las partes

Parte	Rol RGPD	Datos identificativos
RealE_IA	Encargado del tratamiento	Razón social: [RAZÓN SOCIAL / Robert Delgado] · NIF: [___] · Domicilio: [___] · Contacto: hola@realeia.app
La Agencia	Responsable del tratamiento	Razón social: [RAZÓN SOCIAL AGENCIA] · NIF: [___] · Domicilio: [___] · Contacto / DPO: [___]

El Responsable es titular de los datos personales de sus leads, clientes finales y contactos. El Encargado los trata exclusivamente por cuenta del Responsable, conforme a las instrucciones documentadas de éste.

Cláusula 1 — Objeto, duración, naturaleza y finalidad

1.1 Objeto. RealE_IA trata, por cuenta de la Agencia, datos personales de los leads, clientes y contactos de la Agencia con el fin de prestar el servicio de CRM inmobiliario con IA (asistente Jaël): gestión de leads, comunicaciones, matching de propiedades, due diligence y asistencia conversacional.

1.2 Naturaleza y finalidad. Las operaciones de tratamiento incluyen recogida, registro, organización, estructuración, conservación, consulta, utilización, comunicación por transmisión, cotejo, interconexión y supresión, en todos los casos limitadas a las finalidades del servicio contratado.

1.3 Tipos de datos y categorías de interesados. Detallados en el Anexo I.

1.4 Duración. El tratamiento se mantendrá mientras esté vigente el contrato de prestación de servicios entre las partes. A su finalización se aplicará lo previsto en la Cláusula 7.

Cláusula 2 — Obligaciones del Encargado

Instrucciones documentadas. Tratar los datos personales únicamente siguiendo las instrucciones documentadas del Responsable, incluso en lo relativo a transferencias internacionales, salvo obligación legal aplicable al Encargado (en cuyo caso lo notificará previamente, salvo prohibición legal).
Comunicación de instrucciones ilícitas. Informar inmediatamente al Responsable si, en su opinión, una instrucción infringe el RGPD u otra normativa de protección de datos.
Confidencialidad. Garantizar que las personas autorizadas para tratar los datos se han comprometido a respetar la confidencialidad o están sujetas a una obligación legal de confidencialidad.
Seguridad (art. 32). Aplicar las medidas técnicas y organizativas apropiadas descritas en el Anexo III.
No usar los datos para fines propios. El Encargado no utilizará los datos personales del Responsable para finalidades distintas de la prestación del servicio.

Cláusula 3 — Subencargados (otros encargados)

3.1 Autorización general. El Responsable concede al Encargado autorización general para la contratación de subencargados del tratamiento, conforme al art. 28.2 RGPD.

3.2 Deber de información y derecho de objeción. El Encargado informará al Responsable de cualquier cambio previsto en la incorporación o sustitución de subencargados, dando al Responsable la oportunidad de oponerse a dichos cambios en un plazo razonable.

3.3 Mismas obligaciones. El Encargado impondrá a cada subencargado, mediante contrato, las mismas obligaciones de protección de datos estipuladas en este Acuerdo. El Encargado responde frente al Responsable del cumplimiento por parte de sus subencargados.

3.4 Lista actual. La relación de subencargados vigentes figura en el Anexo II.

Cláusula 4 — Transferencias internacionales

Cuando el tratamiento implique la transferencia de datos personales a un tercer país fuera del Espacio Económico Europeo (EEE), dicha transferencia se amparará en garantías adecuadas conforme al Capítulo V del RGPD, en particular las Cláusulas Contractuales Tipo (CCT) adoptadas por la Comisión Europea, junto con las medidas suplementarias que resulten necesarias.

En concreto, los subencargados Anthropic, PBC (API Claude) y Twilio (SMS/WhatsApp, actualmente no activo) están ubicados en EE. UU.; las transferencias hacia ellos se rigen por las CCT correspondientes. [Verificar versión de CCT y, en su caso, marco UE-EE. UU. Data Privacy Framework aplicable].

Cláusula 5 — Asistencia al Responsable

Derechos de los interesados. El Encargado asistirá al Responsable, mediante medidas técnicas y organizativas apropiadas y en la medida de lo posible, para responder a las solicitudes de ejercicio de derechos (acceso, rectificación, supresión, limitación, portabilidad y oposición). Si un interesado dirige una solicitud directamente al Encargado, éste la trasladará sin demora al Responsable.
Evaluaciones de impacto y consultas previas. El Encargado asistirá al Responsable en la realización de evaluaciones de impacto relativas a la protección de datos (art. 35) y en las consultas previas a la autoridad de control (art. 36), teniendo en cuenta la naturaleza del tratamiento y la información disponible.

Cláusula 6 — Notificación de violaciones de seguridad (brechas)

El Encargado notificará al Responsable, sin dilación indebida tras tener conocimiento de ella, cualquier violación de la seguridad de los datos personales. La notificación incluirá, en la medida de lo posible, la naturaleza de la violación, las categorías y número aproximado de interesados afectados, las posibles consecuencias y las medidas adoptadas o propuestas para ponerle remedio. El Encargado cooperará con el Responsable para que éste pueda cumplir, en su caso, sus obligaciones de notificación a la autoridad de control (art. 33) y a los interesados (art. 34).

Cláusula 7 — Supresión o devolución al finalizar

A la finalización de la prestación de los servicios, el Encargado, a elección del Responsable, suprimirá o devolverá al Responsable todos los datos personales y eliminará las copias existentes, salvo que la conservación sea exigida por el Derecho de la Unión o de los Estados miembros. La devolución, en su caso, se realizará en un formato estructurado y de uso común. El Encargado confirmará por escrito la supresión efectuada.

Cláusula 8 — Auditoría e inspección

El Encargado pondrá a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones del art. 28 RGPD y permitirá y contribuirá a la realización de auditorías, incluidas inspecciones, por parte del Responsable o de otro auditor autorizado por éste, con preaviso razonable, durante el horario laboral y sin afectar indebidamente a la actividad del Encargado.

Cláusula 9 — Medidas técnicas y organizativas

Las medidas de seguridad implementadas se detallan en el Anexo III, e incluyen, entre otras, cifrado TLS en tránsito, aislamiento multi-tenant, control de acceso por roles, doble factor de autenticación disponible, copias de seguridad y registro de actividad.

Cláusula 10 — Responsabilidad y duración

10.1 Responsabilidad. Cada parte responderá de los daños y perjuicios causados como consecuencia del incumplimiento de las obligaciones que le incumben en virtud del RGPD y del presente Acuerdo, conforme al art. 82 RGPD.

10.2 Duración. Este Acuerdo entra en vigor en la fecha de su firma y permanecerá vigente mientras el Encargado trate datos personales por cuenta del Responsable. Las obligaciones de confidencialidad y de supresión sobrevivirán a su terminación.

Cláusula 11 — Firma de las partes

Por el Responsable (la Agencia)

Nombre / cargo: [___]

Firma y fecha

Por el Encargado (RealE_IA)

Nombre / cargo: [Robert Delgado]

Firma y fecha

Anexo I

Datos objeto del tratamiento

Elemento	Detalle
Finalidad	Prestación del servicio de CRM inmobiliario con IA (asistente Jaël): gestión de leads, comunicaciones, matching, due diligence y asistencia conversacional.
Tipos de datos personales	Datos de identificación y contacto de leads/clientes (nombre, email, teléfono); preferencias inmobiliarias; historial de comunicaciones e interacciones; documentos aportados por los interesados.
Categorías de interesados	Leads; compradores, vendedores y arrendatarios potenciales; contactos de la Agencia.
Categorías especiales (art. 9)	No previstas. [Confirmar que no se tratan datos sensibles]
Operaciones de tratamiento	Recogida, registro, organización, conservación, consulta, utilización, comunicación por transmisión, interconexión y supresión.

Anexo II

Subencargados del tratamiento

Relación de subencargados autorizados a la fecha de firma. Cualquier modificación se comunicará conforme a la Cláusula 3.2.

Subencargado	Finalidad	Ubicación / transferencia
Google Cloud Platform	Hosting e infraestructura cloud	UE — europe-west1 (Bélgica) / eu-west1 (Irlanda). Sin transferencia fuera del EEE.
Anthropic, PBC	API Claude — procesamiento de IA del texto	EE. UU. — transferencia internacional amparada en Cláusulas Contractuales Tipo (CCT).
Resend	Envío de email transaccional	[Verificar ubicación / garantías]
Twilio	SMS / WhatsApp (actualmente no activo)	EE. UU. — transferencia internacional amparada en CCT.
ElevenLabs	Síntesis de voz (TTS)	[Verificar ubicación / garantías]
Sentry	Registro de errores y observabilidad	[Verificar ubicación / garantías]
Qdrant	Base de datos vectorial (RAG)	Alojada en GCP, UE. Sin transferencia fuera del EEE.

Anexo III

Medidas técnicas y organizativas (art. 32)

Cifrado en tránsito. Todas las comunicaciones se cifran mediante TLS.
Aislamiento multi-tenant. Los datos de cada Agencia se mantienen lógicamente aislados de los de otros clientes.
Control de acceso por roles. Acceso restringido según el principio de mínimo privilegio mediante roles definidos.
Doble factor de autenticación (2FA). Disponible para las cuentas de usuario.
Copias de seguridad. Realización periódica de copias de seguridad para garantizar la disponibilidad y resiliencia.
Registro de actividad. Trazabilidad de las operaciones relevantes sobre los datos.
Confidencialidad del personal. Compromiso de confidencialidad del personal autorizado.
[Añadir: política de retención, cifrado en reposo si aplica, gestión de vulnerabilidades, plan de continuidad]