Saltar al contenido
Limme LabsLimme LabslimmeLimme LabsLimme Labs
Solicitar llamada
ÍNDICE · NAVEGACIÓN
K abrir · ESC cerrar↑↓ navegar · ↵ ir

Legal · Compliance · RGPD Art. 28

Versión: [pendiente]

DPA · Acuerdo de Encargo de Tratamiento

Cuando Limme Labs actúa como encargado del tratamiento de datos de tus usuarios o empleados, este acuerdo regula las condiciones conforme al artículo 28 del Reglamento General de Protección de Datos (RGPD UE 2016/679).

Este DPA se incorpora automáticamente al contrato de servicios suscrito entre Limme Labs S.L. (encargado del tratamiento) y el cliente (responsable del tratamiento). Si necesitas una versión firmada o tienes requisitos específicos de tu DPO, contacta con nosotros en privacidad@limmelabs.com.

01Objeto del tratamiento

Limme Labs S.L. (en adelante, el "Encargado") tratará datos personales en nombre del cliente (en adelante, el "Responsable") exclusivamente para la prestación de los servicios contratados, que comprenden la automatización de procesos operativos internos del Responsable.

La naturaleza, el tipo de datos, las categorías de interesados y la finalidad del tratamiento quedarán especificadas en el contrato de servicio o en un anexo técnico adjunto a este DPA.

02Instrucciones del responsable

El Encargado tratará los datos únicamente siguiendo las instrucciones documentadas del Responsable. Si el Encargado considera que alguna instrucción infringe el RGPD u otra normativa aplicable, informará de ello al Responsable.

Queda expresamente prohibido el uso de los datos para finalidades distintas a las descritas en el contrato de servicio, incluyendo el uso para entrenar modelos propios del Encargado o para análisis internos no autorizados.

03Obligaciones del encargado

El Encargado se compromete a:

  • Tratar los datos únicamente para las finalidades documentadas y bajo las instrucciones del Responsable.
  • Garantizar que las personas autorizadas para tratar datos personales se hayan comprometido a guardar confidencialidad.
  • Asistir al Responsable en la respuesta a solicitudes de ejercicio de derechos de los interesados.
  • Apoyar al Responsable en el cumplimiento de sus obligaciones en materia de seguridad, notificación de violaciones de datos, evaluaciones de impacto y consultas previas.
  • Suprimir o devolver todos los datos al finalizar el contrato, a elección del Responsable, y eliminar las copias existentes salvo que la ley exija su conservación.
  • Facilitar al Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones del art. 28 RGPD y cooperar en las auditorías.

04Medidas de seguridad

El Encargado aplicará las medidas técnicas y organizativas adecuadas conforme al art. 32 RGPD para garantizar un nivel de seguridad apropiado al riesgo, que incluyen, entre otras:

  • Cifrado en tránsito (TLS 1.2+) y en reposo para datos sensibles.
  • Control de acceso basado en roles con principio de mínimo privilegio.
  • Registros de auditoría y monitorización de accesos.
  • Procedimiento documentado de gestión y notificación de incidentes de seguridad.
  • Infraestructura alojada en centros de datos certificados ISO 27001 dentro de la Unión Europea.

El Encargado notificará al Responsable sin demora indebida —y en todo caso en un plazo máximo de 72 horas— cualquier violación de seguridad que afecte a datos tratados en su nombre.

05Subencargados de tratamiento

El Responsable autoriza al Encargado a recurrir a los subencargados listados en la página de Subprocesadores. El Encargado informará al Responsable con al menos 30 días de antelación de cualquier cambio en la lista de subencargados.

El Encargado impondrá a sus subencargados obligaciones de protección de datos equivalentes a las establecidas en este DPA mediante contratos escritos.

06Ejercicio de derechos de los interesados

El Encargado asistirá al Responsable en el cumplimiento de su obligación de responder a los ejercicios de derechos (acceso, rectificación, supresión, portabilidad, oposición y limitación) en un plazo que permita al Responsable cumplir con el plazo de un mes establecido en el RGPD.

Si el Encargado recibe directamente una solicitud de ejercicio de derechos de un interesado, la trasladará al Responsable sin demora y sin responder directamente al interesado, salvo autorización expresa.

07Vigencia y terminación

Este DPA tendrá la misma vigencia que el contrato de servicios al que complementa. A la terminación del contrato, el Encargado, a elección del Responsable y en un plazo máximo de 30 días:

  • Devolverá al Responsable todos los datos personales tratados en su nombre en un formato estándar portable.
  • O eliminará de forma segura e irrecuperable todos los datos y las copias existentes, certificando la eliminación por escrito.

Las obligaciones de confidencialidad establecidas en este DPA sobrevivirán a la terminación del contrato de servicio.

Ver también

Compliance

Subprocesadores

Privacidad

Política de Privacidad

Contacto

Hablar con nuestro equipo

¿Te llamamos?
Contacta con Limme Labs