Art. 28 RGPD
Contrato de Encargo del Tratamiento
Asístelo firma este contrato (DPA) con cada cliente antes de procesar sus datos. Este es el modelo estándar; el contrato firmado con tu organización puede incluir anexos adicionales.
Modelo estándar: Este es el texto del contrato que suscribimos por defecto. Si tu organización requiere cláusulas adicionales (SCC, transferencias internacionales específicas, plazos de notificación reducidos), escríbenos a legal@asistelotodo.com.
Partes del contrato
Responsable del Tratamiento
Tu organización
La empresa o profesional que contrata Asístelo y determina la finalidad y los medios del tratamiento de datos de sus clientes.
Encargado del Tratamiento
GPS LOBBO TEAM, S.L. (Asístelo ToDo)
Proveedor de la plataforma de asistente de voz telefónico con IA. CIF B-19401306. Trata los datos únicamente siguiendo las instrucciones del Responsable.
Objeto y ámbito del tratamiento
El Encargado tratará los datos personales que el Responsable le encomiende exclusivamente para prestar los servicios de asistente de voz telefónico con inteligencia artificial contemplados en el contrato de servicios suscrito entre ambas partes.
Los tipos de datos tratados incluyen: grabaciones de voz y sus transcripciones, números de teléfono de llamantes, resúmenes de conversaciones y cualquier información personal que el llamante proporcione durante la atención telefónica (nombre, motivo de consulta, datos de contacto).
Cuando el Responsable opera en sectores donde las llamadas pueden revelar datos de categoría especial en el sentido del art. 9 RGPD (en particular, datos relativos a la salud), el tratamiento se realiza al amparo de las excepciones del art. 9.2 del RGPD, principalmente: (a) el consentimiento explícito del interesado (art. 9.2.a), recabado mediante el mecanismo de confirmación verbal al inicio de la llamada cuando el Modo Clínica está activo, y/o (b) la prestación de asistencia sanitaria (art. 9.2.h), cuando el Responsable sea un profesional sanitario o establimiento de salud sujeto al secreto profesional. El Responsable es el único que puede determinar qué excepción aplica a su actividad concreta; Asístelo facilita la recogida y el registro del consentimiento verbal como herramienta, pero la base jurídica la selecciona y justifica el Responsable.
Las categorías de interesados son los clientes, usuarios o terceros que contacten telefónicamente con el Responsable a través de la plataforma Asístelo.
Instrucciones del Responsable
El Encargado tratará los datos personales únicamente siguiendo las instrucciones documentadas del Responsable. El tratamiento no se realizará con fines distintos a los encomendados.
Si el Encargado considera que una instrucción vulnera el RGPD u otra normativa aplicable, informará inmediatamente al Responsable. Mientras se resuelve la discrepancia, el Encargado podrá suspender la ejecución de la instrucción cuestionada.
- Configuración de los plazos de retención de grabaciones (30, 60 o 90 días).
- Activación o desactivación del aviso de grabación al llamante.
- Borrado inmediato de conversaciones individuales bajo solicitud del Responsable.
- Exportación de datos para ejercicio de derechos por parte de los interesados.
Confidencialidad
El Encargado garantiza que las personas autorizadas para tratar los datos personales se han comprometido a guardar la confidencialidad o están sujetas a una obligación legal de confidencialidad.
El Encargado no revelará los datos del Responsable a terceros salvo autorización expresa o exigencia legal. En caso de solicitud de una autoridad competente, el Encargado notificará al Responsable en el plazo máximo legalmente permitido.
Medidas de seguridad (art. 32 RGPD)
El Encargado aplica las siguientes medidas técnicas y organizativas para garantizar un nivel de seguridad adecuado al riesgo:
- Cifrado en reposo (AES-256) y en tránsito (TLS 1.3) de todas las grabaciones y transcripciones.
- Control de acceso basado en roles: solo el personal del Responsable autorizado ve sus datos.
- Servidores ubicados exclusivamente en la Unión Europea (región europe-west1).
- Auditorías de seguridad periódicas y pruebas de penetración anuales.
- Plan de continuidad de negocio y recuperación ante desastres (RTO < 4 h, RPO < 1 h).
- Gestión de incidentes con notificación al Responsable en un plazo máximo de 72 horas tras su detección.
Subcontratación (art. 28.2 RGPD)
El Encargado podrá recurrir a otros encargados del tratamiento (subencargados) previa autorización general del Responsable. El Responsable, al aceptar este contrato, autoriza el uso de los subencargados listados en el apartado "Subencargados autorizados".
El Encargado informará al Responsable con al menos 30 días de antelación de cualquier cambio en los subencargados (altas o bajas), dando oportunidad al Responsable de oponerse.
El Encargado impondrá a cada subencargado las mismas obligaciones de protección de datos que las establecidas en este contrato, mediante un contrato escrito.
Asistencia al Responsable
El Encargado asistirá al Responsable en la medida de lo posible con las medidas técnicas y organizativas apropiadas para que pueda cumplir con su obligación de responder a las solicitudes de ejercicio de derechos (acceso, rectificación, supresión, portabilidad, limitación y oposición).
Asimismo, el Encargado asistirá al Responsable en el cumplimiento de las obligaciones relativas a la seguridad del tratamiento, la notificación de violaciones de datos a la autoridad de control y a los interesados, y la realización de evaluaciones de impacto (EIPD).
Violaciones de seguridad (art. 33-34 RGPD)
El Encargado notificará al Responsable sin dilación indebida, y en todo caso antes de que hayan transcurrido 72 horas desde que haya tenido constancia de ella, cualquier violación de la seguridad de los datos personales a su cargo.
La notificación incluirá como mínimo: descripción de la naturaleza de la violación, categorías y número aproximado de interesados y de registros afectados, consecuencias probables de la violación y medidas adoptadas o propuestas.
Supresión o devolución de datos
A elección del Responsable, el Encargado suprimirá o devolverá todos los datos personales una vez finalice la prestación de los servicios, y suprimirá las copias existentes salvo que alguna normativa aplicable exija la conservación de los datos.
Asístelo ofrece la eliminación automática de grabaciones y transcripciones según el plazo de retención configurado por el Responsable (30, 60 o 90 días). Cualquier solicitud de supresión inmediata puede gestionarse desde el panel o contactando a soporte.
Auditorías
El Encargado pondrá a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en este contrato, y permitirá y contribuirá a la realización de auditorías, incluidas inspecciones, por parte del Responsable o de un auditor autorizado por él.
Las auditorías se realizarán previo aviso razonable (mínimo 30 días), en horario laboral y sin interferir en la actividad del Encargado. Los costes corren por cuenta del Responsable salvo que la auditoría revele incumplimientos relevantes.
Duración y ley aplicable
Este contrato tendrá la misma vigencia que el contrato de servicios entre las partes. Las obligaciones de confidencialidad y las derivadas del tratamiento de datos subsistirán tras la terminación del contrato hasta la supresión completa de los datos.
Este contrato se rige por el Reglamento (UE) 2016/679 (RGPD), la Ley Orgánica 3/2018 (LOPDGDD) y demás normativa española y europea de protección de datos. Para cualquier controversia, las partes se someten a los tribunales competentes de España.
Subencargados autorizados
Conforme al art. 28.4 del RGPD, el Encargado informa de los subencargados que participan en el tratamiento. Todos están ubicados en la UE o en países con nivel adecuado de protección.
| Proveedor | Finalidad | Ubicación | Garantías |
|---|---|---|---|
| Google Cloud Platform | Alojamiento de infraestructura, base de datos (Firestore), almacenamiento | UE (europe-west1) | RGPD art. 28, BCR |
| Anthropic, PBC (Claude) | Modelo de lenguaje (LLM): interpretación de peticiones y generación de respuestas del asistente | EE. UU. (SCC + EU-US DPF) | Cláusulas Contractuales Tipo UE |
| Deepgram, Inc. | Transcripción de voz a texto (STT) en tiempo real durante las llamadas | EE. UU. (SCC) | Cláusulas Contractuales Tipo UE |
| Cartesia, Inc. | Síntesis de voz (TTS): generación del audio de las respuestas del asistente | EE. UU. (SCC) | Cláusulas Contractuales Tipo UE |
| Telnyx, LLC | Motor de telefonía SIP, grabación y streaming de audio de llamadas | EE. UU. (SCC + EU-US DPF) | Cláusulas Contractuales Tipo UE |
| Zadarma, S.L. | Numeración telefónica española (+34) para llamadas entrantes | UE (España) | RGPD art. 28, datos en UE |
| Stripe | Procesamiento de pagos (solo datos de facturación, no de llamadas) | UE (Irlanda) | RGPD art. 28, PCI DSS |
Solicitar DPA firmado
Para obtener una copia firmada del Contrato de Encargo del Tratamiento con los datos de tu organización, o para negociar cláusulas adicionales (SCC, data residency, auditorías presenciales), contacta con nuestro equipo legal.
Escúchala antes de decidir.
Deja tu número y tu nueva recepcionista te llama en segundos. Habla con ella como lo haría un cliente y juzga tú mismo.