CONTRATO DE ENCARGO DEL TRATAMIENTO DE DATOS

Este Contrato de Encargo del Tratamiento de Datos (en adelante, el "DPA") forma parte integrante de las Condiciones de Servicio que rigen la relación entre Alba Tech Lab, S.L. (en adelante, "Alba Tech" o el "Encargado") y la entidad jurídica que contrata la aplicación Aurora (en adelante, el "Cliente" o el "Responsable"). Regula el tratamiento de datos personales que Alba Tech realiza por cuenta del Cliente para la prestación del servicio, conforme al artículo 28 del Reglamento (UE) 2016/679 (RGPD) y a la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).

Encargado del tratamiento. Alba Tech Lab, S.L., con CIF B19855253 y domicilio social en Calle Limonero 22, 28020 Madrid, inscrita en el Registro Mercantil de Madrid (Hoja M-827429, EUID ES28065.082274299). Correo para asuntos de protección de datos: privacy@joinaurora.io .

Responsable del tratamiento. La persona jurídica que contrata la aplicación Aurora, identificada en el contrato principal de servicio y en su cuenta de usuario, incluidas sus organizaciones, miembros y representantes autorizados.

Salvo que se indique lo contrario, los términos en mayúsculas tienen el significado que les atribuye el RGPD. A los efectos de este DPA, "Datos Personales del Cliente" significa los datos personales que el Cliente o sus usuarios cargan, generan o transmiten a través de la aplicación Aurora; "Servicio" significa la aplicación Aurora y los servicios auxiliares prestados por Alba Tech; "Subencargado" significa cualquier tercero contratado por Alba Tech para tratar Datos Personales del Cliente, conforme al artículo 28.2 RGPD.

Alba Tech tratará los Datos Personales del Cliente exclusivamente por cuenta del Cliente y conforme a sus instrucciones documentadas para la finalidad de prestar el Servicio. Las Condiciones de Servicio, la configuración de la aplicación y este DPA constituyen las instrucciones documentadas del Cliente.

La naturaleza y la finalidad del tratamiento son las descritas en el Anexo I de este DPA y consisten, en términos generales, en almacenar, procesar y poner a disposición los datos de negocio que el Cliente sube a la aplicación Aurora (contactos, empleados, nóminas, facturas, tesorería, conexiones bancarias, integraciones, conversaciones con el asistente de IA y libro contable). La duración del tratamiento coincide con la vigencia del contrato de servicio, salvo obligaciones legales de conservación posteriores.

Las categorías de Datos Personales y de interesados afectados se detallan en el Anexo I. No se tratan categorías especiales de datos del artículo 9 RGPD de forma intencionada. Los datos de nómina, los documentos de identidad (DNI/NIE) y los datos bancarios reciben las medidas reforzadas descritas en el Anexo II y en la Política de Privacidad.

Alba Tech se obliga a (a) tratar los Datos Personales del Cliente únicamente conforme a las instrucciones documentadas del Cliente, salvo obligación legal en sentido contrario, en cuyo caso informará al Cliente de tal exigencia con carácter previo, salvo que el Derecho aplicable lo prohíba; (b) garantizar que las personas autorizadas a tratar los Datos Personales del Cliente se han comprometido a respetar la confidencialidad o están sujetas a una obligación legal de confidencialidad; (c) aplicar las medidas técnicas y organizativas descritas en el Anexo II; (d) respetar las condiciones previstas en este DPA para recurrir a Subencargados; (e) asistir al Cliente, en la medida de lo posible, en el cumplimiento de su obligación de responder a las solicitudes de ejercicio de derechos de los interesados; (f) asistir al Cliente en el cumplimiento de sus obligaciones bajo los artículos 32 a 36 del RGPD; (g) a elección del Cliente, devolver o suprimir los Datos Personales del Cliente al finalizar la prestación del servicio, salvo conservación obligatoria por ley; y (h) poner a disposición del Cliente toda la información necesaria para demostrar el cumplimiento de las obligaciones del artículo 28 RGPD.

El Cliente otorga a Alba Tech una autorización general para recurrir a los Subencargados que figuran en la lista pública de subencargados , que se mantiene actualizada y forma parte del Anexo III de este DPA. Cualquier alta, sustitución o baja de Subencargados se publicará en dicha lista con antelación razonable. El Cliente puede suscribirse al feed RSS de cambios para recibir notificaciones automáticas.

El Cliente dispondrá de un plazo razonable, no inferior a catorce (14) días desde la publicación del cambio, para oponerse motivadamente a la incorporación de un nuevo Subencargado por razones objetivas de protección de datos. En tal caso, Alba Tech y el Cliente colaborarán de buena fe para encontrar una solución; si no es posible, cualquiera de las partes podrá resolver el servicio en lo afectado por el desacuerdo, sin penalización.

Alba Tech impondrá a cada Subencargado, mediante contrato u otro acto jurídico, las mismas obligaciones de protección de datos que las recogidas en este DPA, en particular las medidas técnicas y organizativas adecuadas. Alba Tech responderá plenamente frente al Cliente del incumplimiento por parte del Subencargado.

Cuando el tratamiento implique una transferencia de Datos Personales del Cliente fuera del Espacio Económico Europeo, dicha transferencia se realizará al amparo del marco UE-EE. UU. de Privacidad de Datos (EU-US Data Privacy Framework) cuando el destinatario esté certificado, o, en su defecto, mediante las cláusulas contractuales tipo aprobadas por la Comisión Europea (Decisión de Ejecución (UE) 2021/914), complementadas con medidas adicionales cuando resulten necesarias tras la correspondiente evaluación de impacto de la transferencia.

La residencia del sandbox de ejecución del asistente está fijada a regiones de la Unión Europea (Fráncfort, París y Estocolmo). La región del proyecto de base de datos del Cliente está configurada para alojar los datos en la Unión Europea.

Alba Tech aplicará las medidas técnicas y organizativas descritas en el Anexo II, conforme al artículo 32 RGPD. Las medidas incluyen, entre otras, cifrado en tránsito y en reposo, aislamiento de datos entre organizaciones mediante reglas de seguridad a nivel de fila, control de acceso por rol, política de contraseñas robusta, registro de auditoría y revisión periódica. Alba Tech revisará y actualizará estas medidas con regularidad y podrá modificarlas siempre que el nivel de seguridad no se vea reducido.

Alba Tech proporcionará al Cliente, teniendo en cuenta la naturaleza del tratamiento, asistencia razonable mediante medidas técnicas y organizativas adecuadas, en la medida de lo posible, para que el Cliente pueda cumplir con su obligación de responder a las solicitudes de ejercicio de derechos de los interesados previstas en el Capítulo III del RGPD (acceso, rectificación, supresión, limitación, portabilidad y oposición).

La aplicación Aurora incluye funcionalidades de autoservicio que permiten al Cliente acceder, modificar y suprimir Datos Personales del Cliente. Cuando estas funcionalidades no resulten suficientes para atender una solicitud concreta, Alba Tech prestará asistencia adicional sin coste, salvo que la solicitud sea manifiestamente infundada o excesiva.

Alba Tech notificará al Cliente, sin dilación indebida y en un plazo máximo de cuarenta y ocho (48) horas desde el momento en que tenga conocimiento de una brecha de seguridad que afecte a los Datos Personales del Cliente, los siguientes elementos: la naturaleza de la brecha, las categorías y el número aproximado de interesados y de registros afectados, las medidas adoptadas o propuestas para mitigar los efectos y los datos de contacto para obtener más información.

Alba Tech asistirá al Cliente en el cumplimiento de sus obligaciones de notificación a la autoridad de control y de comunicación a los interesados afectados, conforme a los artículos 33 y 34 RGPD.

Alba Tech pondrá a disposición del Cliente la información necesaria para demostrar el cumplimiento de las obligaciones del artículo 28 RGPD, incluyendo certificaciones, informes de auditoría independiente y la documentación técnica que resulte razonable.

El Cliente podrá solicitar, con un preaviso razonable y no más de una vez por año natural (salvo en caso de incidente grave), una auditoría limitada al cumplimiento de este DPA, que se llevará a cabo de buena fe y con respeto a la confidencialidad de los demás clientes y a la seguridad operativa del Servicio. Los costes razonables de auditorías solicitadas por el Cliente, cuando se trate de auditoría in situ, correrán por cuenta del Cliente, salvo cuando se detecten incumplimientos materiales por parte de Alba Tech.

A la finalización de la prestación del Servicio, por cualquier causa, Alba Tech, a elección del Cliente y previa instrucción escrita, devolverá los Datos Personales del Cliente en formato estructurado y de uso común, o procederá a su supresión segura, incluidas todas las copias existentes, salvo que el Derecho de la Unión o de los Estados miembros exija su conservación. Las funcionalidades de exportación de datos del Cliente, en formato estructurado, están en desarrollo continuo; mientras tanto, la operación se realiza con asistencia de Alba Tech.

Los datos contables y fiscales se conservarán durante los plazos exigidos por la Ley General Tributaria y demás normativa española aplicable (seis años, con carácter general).

Cada parte responderá por los daños causados por el incumplimiento de sus respectivas obligaciones bajo este DPA y bajo la normativa aplicable de protección de datos. Los límites de responsabilidad, indemnizaciones y exclusiones aplicables se regirán por lo dispuesto en el contrato principal de servicio entre las partes.

Este DPA se rige por la legislación española y por el Derecho de la Unión Europea aplicable en materia de protección de datos. Cualquier controversia derivada de su interpretación o ejecución se someterá a la jurisdicción de los Juzgados y Tribunales de Madrid, con renuncia expresa a cualquier otro fuero que pudiera corresponder.

Naturaleza del tratamiento. Almacenamiento, organización, estructuración, consulta, modificación, comunicación por transmisión y supresión de datos personales, conforme a las instrucciones del Cliente cursadas a través de la aplicación Aurora.

Finalidad del tratamiento. Prestar al Cliente las funcionalidades contratadas de Aurora: gestión de contactos y CRM, gestión de empleados y nóminas, facturación, tesorería y conciliación bancaria, agregación de información financiera, ejecución del asistente de IA y elaboración del libro contable.

Duración del tratamiento. La vigencia del contrato de servicio, salvo obligaciones legales de conservación posteriores y los periodos descritos en la cláusula 13.

Categorías de Datos Personales tratados. Datos identificativos (nombre, apellidos, DNI/NIE, email, teléfono); datos de contacto profesional (puesto, organización, dirección); datos económicos (IBAN/SWIFT, mandato SEPA, importes, transacciones, saldos); datos laborales (puesto, departamento, fechas de alta y baja, salario bruto, retenciones, cotizaciones); contenido de las comunicaciones con el asistente de IA; documentos del cliente cargados en la aplicación; metadatos técnicos asociados al uso del servicio.

Categorías de interesados. Personal del Cliente (empleados, directivos, colaboradores); contactos, clientes, proveedores y contrapartes del Cliente; representantes y autorizados.

Cifrado y aislamiento. Cifrado en tránsito (TLS) y en reposo en la base de datos. Aislamiento de los datos entre organizaciones mediante reglas de seguridad a nivel de fila (Row Level Security). Cifrado adicional AES-256-GCM de los tokens de Open Banking. Extensión del cifrado adicional en reposo a otros tokens OAuth (Google, Notion) y claves de API (Holded) en curso.

Control de acceso. Política de contraseñas con longitud mínima, complejidad y rechazo de contraseñas filtradas. Opción de inicio de sesión federado con Google y enlace mágico. Sesiones con HttpOnly, Secure y SameSite=Lax. Aislamiento estricto entre organizaciones mediante reglas a nivel de fila.

Seguridad operativa. Revocación efectiva de las conexiones OAuth desde la propia aplicación. Lista blanca de salidas de red en el sandbox de ejecución del asistente. Redacción automática de secretos en los logs. Detección de inyección de prompts mediante Lakera Guard antes del envío al modelo. Logs sin cuerpos de petición en producción.

Auditoría y trazabilidad. Registro de auditoría de las sesiones del asistente. Registro de cambios contables. Trazabilidad de las acciones del usuario sobre los datos críticos.

Revisión periódica. Revisión y actualización de las medidas con regularidad. Posibilidad de modificación siempre que el nivel de seguridad no se vea reducido.

La lista actualizada de Subencargados, con su categoría, función, datos transferidos, ubicación y garantía RGPD aplicable, se publica y mantiene en www.joinaurora.io/legales/subencargados .

Los Subencargados se agrupan en seis categorías: infraestructura, inteligencia artificial, email, marketing y web pública, DNS e integraciones que el cliente activa. La lista incluye, entre otros, Vercel Inc., Supabase Inc., Anthropic PBC, OpenAI LLC, Google LLC, Lakera AG, Resend, Wealth Reader y Holded. Para cada uno se detalla en la página correspondiente la base de la transferencia internacional (EU-US Data Privacy Framework, cláusulas contractuales tipo o decisión de adecuación).

El Cliente puede suscribirse al feed RSS de cambios para recibir notificaciones automáticas cuando se añada, sustituya o retire un Subencargado.