Acuerdo de encargo de tratamiento personalizado

Para clientes empresariales, estamos encantados de proporcionarle un acuerdo de encargo de tratamiento con los datos de su empresa previa solicitud.

Solicitar

Contrato de encargo de tratamiento | Safina AI

Última actualización: 2025-04-26

Contrato de encargo de tratamiento conforme al art. 28 del RGPD

Fecha: 26 de abril de 2025

Este contrato de encargo de tratamiento (en adelante, «AVV») se celebra entre el usuario del servicio Safina AI, que actúa como responsable del tratamiento en el sentido del art. 4, núm. 7, del RGPD (en adelante, «cliente» o «responsable»),

y

DK Tech Solutions UG (haftungsbeschränkt) Schwanthalerstr. 141 80339 Múnich, Alemania (en adelante, «Encargado del tratamiento»).

Preámbulo

Este AVV forma parte de las condiciones de uso del servicio Safina AI y regula los derechos y obligaciones de las partes en el marco del tratamiento de datos personales por encargo conforme al art. 28 del RGPD. Se aplica a todos los clientes que utilizan el servicio como empresarios y encargan al encargado del tratamiento el tratamiento de datos personales. Este AVV entra en vigor mediante la aceptación de las condiciones de uso de Safina AI y/o el uso del servicio por parte del cliente.

Sobre esta base, las partes acuerdan lo siguiente:

I. Objeto del encargo, ámbito de aplicación y responsabilidad

El objeto de este encargo se deriva de las condiciones de uso de Safina AI y de la descripción del servicio.

El encargado del tratamiento trata datos personales por cuenta del cliente. Esto incluye actividades concretadas en las condiciones de uso y la descripción del servicio de Safina AI. En particular, se trata de la provisión y operación de un buzón de voz / asistente telefónico basado en inteligencia artificial (Safina AI). Esto comprende, entre otros:

  • Recepción de llamadas telefónicas en nombre del cliente.
  • Grabación de conversaciones telefónicas (audio), siempre que esta función haya sido activada expresamente por el cliente (desactivada por defecto).
  • Transcripción de conversaciones telefónicas.
  • Elaboración de resúmenes y análisis de llamadas (p. ej., valoración del tono, detección de tareas pendientes).
  • Detección y marcado de posibles llamadas de spam o phishing.
  • Almacenamiento de los datos de las llamadas (audio, transcripción, metadatos, resúmenes).
  • Puesta a disposición del cliente de la información procesada a través de la aplicación Safina AI y notificaciones configurables (p. ej., push, correo electrónico).
  • Gestión de datos de contacto y configuraciones del cliente en el marco de la prestación del servicio.

El cliente es el único responsable, en el marco de este contrato, del cumplimiento de las disposiciones legales en materia de protección de datos, en particular de la licitud del tratamiento de datos (p. ej., información a las personas que llaman sobre la grabación, obtención de los consentimientos necesarios) y de la transmisión de los datos al encargado del tratamiento («responsable del tratamiento» en el sentido del art. 4, núm. 7, del RGPD).

Las instrucciones se establecen inicialmente mediante las condiciones de uso y la configuración del servicio realizada por el cliente, y pueden ser modificadas, complementadas o sustituidas por el cliente posteriormente de forma escrita o en formato electrónico (forma textual) mediante instrucciones individuales, en la medida en que la funcionalidad del servicio lo permita. Las instrucciones verbales deberán ser confirmadas de inmediato por escrito o en forma textual.

II. Duración del encargo

La duración de este encargo (vigencia) está vinculada a la duración del uso del servicio Safina AI por parte del cliente conforme a las condiciones de uso aceptadas (p. ej., mediante el pago activo de una suscripción).

Sin perjuicio del párrafo anterior, el contrato permanecerá vigente mientras el encargado del tratamiento trate datos personales por cuenta del cliente (incluidas las copias de seguridad del sistema).

En caso de que existan otros acuerdos entre el cliente y el encargado del tratamiento relativos a la protección de datos personales, este contrato de encargo de tratamiento tendrá carácter preferente, salvo que las partes acuerden expresamente lo contrario.

III. Especificación

Tipos de datos

Los datos personales objeto de recogida, tratamiento y/o uso en el marco de la prestación de Safina AI son los siguientes tipos/categorías de datos:

  • Datos de comunicación: Números de teléfono (personas que llaman, cliente), direcciones de correo electrónico (del cliente para notificaciones/inicio de sesión), metadatos de llamadas (fecha, hora, duración).
  • Datos de audio: Grabaciones de voz de las llamadas recibidas por Safina AI (solo si el cliente activa esta función).
  • Datos de contenido: Transcripciones de conversaciones, contenido de resúmenes de llamadas, información extraída (p. ej., tareas pendientes, nombres si se mencionan en la conversación).
  • Datos personales básicos: Nombres de las personas que llaman (si se mencionan en la conversación o se transmiten), nombre y datos de contacto de los usuarios del cliente.
  • Datos de análisis y valoración: Resultados del análisis de tono, clasificación de spam.
  • Datos de configuración: Ajustes seleccionados por el cliente (p. ej., voz, tono, reglas de desvío, preferencias de notificación, estado de activación de la grabación de audio).
  • Datos de contacto del cliente: Datos de contacto almacenados o sincronizados, en su caso, por el cliente en Safina AI para la gestión de reglas de llamada.
  • Datos de usuario del cliente: Datos de inicio de sesión, configuraciones del perfil de usuario.

Categorías de interesados

Las personas afectadas por el tratamiento de sus datos personales en el marco de este encargo incluyen:

  • Personas que llaman: Personas que contactan telefónicamente al cliente y cuya llamada es atendida por Safina AI.
  • Empleados/usuarios del cliente: Personas que utilizan y administran el servicio Safina AI por cuenta del cliente.
  • Contactos del cliente: Personas cuyos datos de contacto el cliente almacena o sincroniza, en su caso, en Safina AI para la configuración.

Lugar del tratamiento y confidencialidad

El tratamiento de los datos se realiza exclusivamente en un Estado miembro de la Unión Europea o en otro Estado parte del Acuerdo sobre el Espacio Económico Europeo (en particular, Alemania). Cualquier traslado a un tercer país requiere el consentimiento previo del cliente y solo podrá efectuarse cuando se cumplan los requisitos especiales de los arts. 44 a 50 del RGPD (p. ej., mediante cláusulas contractuales tipo). El cliente no podrá denegar su consentimiento de forma irrazonable.

Las partes contratantes están obligadas a mantener en estricto secreto todos los secretos comerciales y empresariales de la otra parte y a no revelarlos a terceros, salvo que la otra parte contratante otorgue expresamente su consentimiento previo por escrito o exista una obligación legal de divulgación. Esta obligación de confidencialidad se refiere a toda información no conocida públicamente de la que las partes contratantes tengan conocimiento en el contexto de la ejecución de la colaboración.

El encargado del tratamiento trata los datos personales exclusivamente en el marco de las instrucciones del cliente y de las disposiciones de las condiciones de uso. Queda prohibido al encargado del tratamiento utilizar los datos para fines distintos de los acordados, en particular analizarlos para fines propios o comunicarlos a terceros no autorizados. El encargado del tratamiento garantiza que los datos personales tratados por encargo, en particular las grabaciones de audio y las transcripciones, no se utilizarán para el entrenamiento de modelos de inteligencia artificial propios o de terceros.

IV. Medidas técnicas y organizativas

El encargado del tratamiento adopta en su ámbito de responsabilidad todas las medidas técnicas y organizativas necesarias conforme al art. 32 del RGPD para la protección adecuada de los datos personales, teniendo en cuenta la naturaleza, el alcance, las circunstancias y los fines del tratamiento, así como la diferente probabilidad y gravedad de los riesgos para los derechos y libertades de las personas físicas. Se pondrá a disposición del cliente, previa solicitud o como anexo a este acuerdo, una descripción de las medidas técnicas y organizativas (TOM) vigentes.

Las medidas técnicas y organizativas acordadas están sujetas al progreso técnico y al desarrollo continuo. En este sentido, el encargado del tratamiento está autorizado a implementar medidas alternativas adecuadas. El nivel de seguridad de las medidas establecidas no podrá ser inferior al existente. Los cambios sustanciales serán documentados por el encargado del tratamiento y comunicados al cliente previa solicitud.

V. Derechos de los interesados

El encargado del tratamiento asiste al cliente, en su ámbito de responsabilidad y en la medida de lo posible, mediante medidas técnicas y organizativas adecuadas, en el cumplimiento de las obligaciones del cliente de atender las solicitudes de ejercicio de los derechos de los interesados (arts. 12-23 del RGPD).

El encargado del tratamiento no podrá rectificar, suprimir ni limitar el tratamiento de los datos tratados por encargo por iniciativa propia, sino únicamente conforme a las instrucciones documentadas del cliente. En caso de que un interesado (en particular, una persona que llama) se dirija directamente al encargado del tratamiento a este respecto, este transmitirá dicha solicitud al cliente sin demora.

En la medida en que la facilitación de información, la supresión, la limitación del tratamiento o la portabilidad de los datos estén incluidas en el alcance de las prestaciones y puedan ser realizadas por el cliente a través de las funcionalidades de Safina AI, corresponderá al cliente llevarlas a cabo. En caso contrario, el encargado del tratamiento prestará asistencia conforme a las instrucciones.

VI. Aseguramiento de la calidad y demás obligaciones del encargado del tratamiento

El encargado del tratamiento tiene, además del cumplimiento de las disposiciones de este contrato, obligaciones legales propias conforme al RGPD; en este sentido, garantiza especialmente el cumplimiento de los siguientes requisitos:

El mantenimiento de la confidencialidad conforme al art. 28, apartado 3, frase 2, letra b), arts. 29 y 32, apartado 4, del RGPD. El encargado del tratamiento emplea para la ejecución de los trabajos únicamente personal que ha sido comprometido a la confidencialidad y previamente familiarizado con las disposiciones de protección de datos pertinentes. El encargado del tratamiento y toda persona subordinada al mismo que tenga acceso a datos personales solo podrán tratar dichos datos conforme a las instrucciones del cliente, salvo que estén legalmente obligados al tratamiento.

El cliente y el encargado del tratamiento cooperan, previa solicitud, con la autoridad de control en el cumplimiento de sus funciones.

La información inmediata al cliente sobre actuaciones de control y medidas de la autoridad de control, en la medida en que se refieran a este contrato. Esto se aplica igualmente cuando una autoridad competente investigue al encargado del tratamiento en el marco de un procedimiento sancionador o penal en relación con el tratamiento de datos personales en el encargo de tratamiento.

En caso de que el cliente esté sometido a un control de la autoridad de control, a un procedimiento sancionador o penal, a una reclamación de responsabilidad de un interesado o de un tercero, o a cualquier otra pretensión relacionada con el encargo de tratamiento por parte del encargado, este último le prestará el apoyo necesario en la medida razonable.

El encargado del tratamiento controla periódicamente los procesos internos así como las medidas técnicas y organizativas para garantizar que el tratamiento en su ámbito de responsabilidad se realice conforme a los requisitos de la legislación de protección de datos aplicable y que se garantice la protección de los derechos de los interesados.

Demostrabilidad de las medidas técnicas y organizativas adoptadas frente al cliente en el marco de sus facultades de control conforme al apartado VIII de este contrato (p. ej., mediante certificaciones adecuadas, dictámenes, informes o autodeclaraciones).

El encargado del tratamiento asiste al cliente en el cumplimiento de las obligaciones conforme a los arts. 33 y 34 del RGPD (notificación de violaciones de la seguridad de los datos). El encargado del tratamiento notifica al cliente sin demora las violaciones de la seguridad de los datos personales tratados en el marco de este encargo, una vez tenga conocimiento de las mismas. La notificación contendrá al menos la información exigida en el art. 33, apartado 3, del RGPD.

El encargado del tratamiento asiste al cliente en el cumplimiento de sus obligaciones de información frente a los interesados y le facilita la información necesaria sobre el tratamiento realizado por el encargado.

En caso de que el cliente esté obligado a realizar una evaluación de impacto relativa a la protección de datos conforme al art. 35 del RGPD en relación con el uso de Safina AI, el encargado del tratamiento le prestará apoyo con la información necesaria de que disponga. Lo mismo se aplica en caso de una eventual obligación de consulta a la autoridad de control conforme al art. 36 del RGPD.

Este contrato no exime al encargado del tratamiento del cumplimiento de otras disposiciones del RGPD.

VII. Subencargos del tratamiento

El encargado del tratamiento está autorizado a recurrir a subencargados del tratamiento para la prestación del servicio contractualmente debido (subencargos del tratamiento). Se entienden como subencargos del tratamiento en el sentido de esta disposición aquellos servicios que se refieren directamente a la prestación del servicio principal (servicio Safina AI). Esto incluye, por ejemplo, proveedores de alojamiento, proveedores de modelos de inteligencia artificial para transcripción o análisis, proveedores de servicios de comunicación.

El encargado del tratamiento informa al cliente de cada intención de contratar o cambiar un subencargado del tratamiento. Se pondrá a disposición del cliente por separado una lista actualizada de los subencargados del tratamiento contratados, indicando la ubicación y el servicio prestado (p. ej., en el sitio web del encargado del tratamiento o como anexo). El cliente tiene derecho a oponerse, por un motivo importante relacionado con la protección de datos, a la contratación o cambio de un subencargado del tratamiento. La oposición deberá presentarse por escrito o en forma textual ante el encargado del tratamiento en un plazo de 14 días desde la recepción de la información. Si el cliente no presenta oposición dentro del plazo, se considerará aprobada la contratación del subencargado del tratamiento.

El encargado del tratamiento garantiza que con cada subencargado del tratamiento se celebre un acuerdo contractual conforme al art. 28, apartados 2-4, del RGPD, que contenga sustancialmente las mismas obligaciones que este acuerdo, en particular en lo relativo a las medidas técnicas y organizativas y la confidencialidad.

La transmisión de datos personales del cliente al subencargado del tratamiento y el inicio de la actividad de este solo serán lícitos una vez que se haya cumplido la obligación del subencargado conforme al art. 28, apartado 4, del RGPD.

Si el subencargado del tratamiento presta el servicio acordado fuera de la UE/del EEE, el encargado del tratamiento garantizará la licitud en materia de protección de datos mediante garantías adecuadas conforme a los arts. 44 y siguientes del RGPD (p. ej., cláusulas contractuales tipo de la UE), salvo que exista una decisión de adecuación. El encargado del tratamiento verificará periódicamente el cumplimiento de las obligaciones por parte del subencargado del tratamiento.

Una subcontratación adicional por parte del subencargado del tratamiento (sub-subencargo) requiere el consentimiento previo del encargado del tratamiento y, en caso necesario, la información al cliente conforme al procedimiento descrito anteriormente.

VIII. Derechos de control del cliente

El cliente tiene derecho a controlar, en la medida necesaria, el cumplimiento de las disposiciones legales en materia de protección de datos y de los acuerdos contractuales por parte del encargado del tratamiento, o a hacer que sean controlados por auditores designados para cada caso concreto.

El encargado del tratamiento se compromete a facilitar al cliente, previa solicitud escrita y en un plazo razonable, toda la información y documentación necesaria para la realización del control. Esto puede realizarse, en particular, mediante la presentación de certificaciones, dictámenes, informes de organismos independientes, autodeclaraciones o certificaciones adecuadas.

Las inspecciones in situ en las instalaciones del encargado del tratamiento son posibles previo aviso con antelación suficiente (por regla general, al menos 10 días hábiles), durante el horario comercial habitual y sin perturbar las operaciones. El encargado del tratamiento tiene derecho a solicitar el reembolso razonable de los gastos ocasionados, salvo que la inspección se deba a una sospecha concreta de violación de la protección de datos por parte del encargado del tratamiento.

IX. Facultad de instrucción del cliente

El encargado del tratamiento trata los datos personales exclusivamente en el marco de los acuerdos de este contrato y conforme a las instrucciones documentadas del cliente, salvo que esté obligado al tratamiento por el Derecho de la Unión o de los Estados miembros (art. 28, apartado 3, frase 2, letra a), del RGPD). Las instrucciones iniciales se derivan de las condiciones de uso y del uso/configuración de Safina AI por parte del cliente.

El encargado del tratamiento informa al cliente de forma inmediata si considera que una instrucción infringe el RGPD u otras disposiciones de protección de datos de la Unión o de los Estados miembros. El encargado del tratamiento está autorizado a suspender la ejecución de la instrucción correspondiente hasta que sea confirmada o modificada por el cliente.

X. Supresión y devolución de datos personales

Tras la finalización del uso del servicio por parte del cliente (p. ej., por cancelación de la suscripción) o en cualquier momento por instrucción del cliente, el encargado del tratamiento deberá, a elección del cliente, suprimir de forma conforme con la protección de datos o devolver al cliente todos los datos personales objeto de este contrato de encargo de tratamiento que se encuentren bajo su control, salvo que obligaciones legales de conservación o intereses legítimos del encargado del tratamiento se opongan a la supresión.

La supresión incluye también todas las copias existentes, incluidas las copias de seguridad del sistema (backups), realizándose la supresión de las copias de seguridad en el marco de las posibilidades técnicas y los ciclos habituales de backup.

El encargado del tratamiento confirmará al cliente, previa solicitud y por escrito, la supresión o devolución efectuada.

XI. Responsabilidad

Para la responsabilidad de las partes en caso de infracciones de la protección de datos se aplican las disposiciones legales, en particular el art. 82 del RGPD. El cliente y el encargado del tratamiento responden frente a los interesados conforme a las disposiciones del art. 82 del RGPD.

XII. Requisito de forma escrita, cláusula de salvaguardia

Las modificaciones y complementos de este contrato de encargo de tratamiento y de todos sus componentes requieren forma escrita (siendo suficiente la forma textual conforme al § 126b BGB). Esto también se aplica a la renuncia a este requisito formal. No existen acuerdos verbales complementarios.

Este contrato de encargo de tratamiento se rige por el Derecho alemán, con exclusión de la Convención de las Naciones Unidas sobre los Contratos de Compraventa Internacional de Mercaderías.

Si alguna de las disposiciones de este contrato de encargo de tratamiento fuera o resultara total o parcialmente inválida, ello no afectará a la validez de las restantes disposiciones. Las partes se comprometen a sustituir la disposición inválida por una regulación válida que se aproxime lo más posible a la finalidad económica de la disposición inválida. Lo mismo se aplica a las posibles lagunas contractuales.

Por el encargado del tratamiento:

Múnich

DK Tech Solutions UG (haftungsbeschränkt) David Schemm & Karsten Kreh, Directores Generales

Versión vinculante

Este documento es una traducción proporcionada únicamente con fines informativos. En caso de discrepancia entre esta traducción y el original en alemán, prevalecerá la versión en alemán.