CONTRATO DE ENCARGO DE TRATAMIENTO (DPA)

Última actualización: 26 de abril de 2026

El presente Contrato de Encargo de Tratamiento (en adelante, el «DPA» o el «Contrato») regula las condiciones del tratamiento de datos personales que NURIA LABS SL realiza por cuenta del Cliente en el marco de la prestación del servicio GESCON, conforme a lo establecido en el artículo 28 del Reglamento (UE) 2016/679 General de Protección de Datos (en adelante, «RGPD») y en la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, «LOPDGDD»).

Este DPA forma parte integrante de los Términos y Condiciones de Uso del Servicio y se considera aceptado por el Cliente al aceptar dichos Términos o al activar la Cuenta. En caso de contradicción entre el DPA y los Términos en materia de protección de datos personales, prevalecerá el presente DPA.

1. Partes

RESPONSABLE DEL TRATAMIENTO: el Cliente del servicio GESCON, persona física o jurídica que ha contratado el Servicio y cuyos datos identificativos figuran en el formulario de alta y/o en la cuenta del Servicio (en adelante, el «Responsable» o el «Cliente»).

ENCARGADO DEL TRATAMIENTO:

Razón socialNURIA LABS SL
CIFB22853493
Domicilio socialCarrer Sant Miquel, 36 1ºA, 07002 Palma, Illes Balears, España
Correo electrónicogescon@nurialabs.com
Teléfono+34 871 55 71 41

En adelante, «NURIA LABS» o «el Encargado».

2. Objeto del encargo

Mediante el presente DPA, el Responsable encomienda al Encargado el tratamiento de los datos personales necesarios para la prestación del servicio GESCON conforme a los Términos y Condiciones aplicables. El Encargado tratará dichos datos por cuenta y conforme a las instrucciones del Responsable, exclusivamente para las finalidades aquí pactadas.

3. Detalles del tratamiento

Conforme al artículo 28.3 del RGPD, se especifica a continuación el alcance, naturaleza y finalidad del tratamiento, así como las categorías de interesados y de datos personales objeto del encargo:

ConceptoDetalle
ObjetoTratamiento de datos personales necesarios para la prestación del servicio GESCON, plataforma SaaS de gestión del conocimiento empresarial basada en inteligencia artificial.
NaturalezaOperaciones de almacenamiento, indexación, consulta, análisis, lectura, transmisión, generación de respuestas mediante IA, conservación, supresión y devolución de los datos.
FinalidadPrestar el Servicio conforme a los Términos y Condiciones, permitir al Cliente y a sus Usuarios Finales centralizar y consultar el conocimiento de la organización mediante asistentes de IA.
DuraciónLa del contrato principal entre las partes (Términos y Condiciones de Uso) y, en su caso, los plazos de conservación posteriores establecidos en el apartado 11.
Categorías de interesadosEmpleados, colaboradores, clientes, proveedores, contactos comerciales y cualquier otra persona física cuyos datos figuren en los documentos, fuentes o consultas que el Cliente o sus Usuarios Finales suban, conecten o procesen a través de la Plataforma.
Categorías de datos personalesDatos identificativos y de contacto, datos profesionales y laborales, datos económicos y de facturación, contenido de comunicaciones y documentos, metadatos asociados, así como cualquier otro tipo de datos que el Cliente decida procesar a través de la Plataforma.
Categorías especiales de datosNo procede salvo que el Cliente decida tratar datos especialmente protegidos (art. 9 RGPD) a través de la Plataforma. En tal caso, el Cliente garantiza disponer de la base legitimadora correspondiente y asume la plena responsabilidad sobre dicho tratamiento.

4. Obligaciones del Encargado

El Encargado y todo su personal se obliga a:

  • Tratar los datos por cuenta del Responsable: utilizar los datos personales objeto del tratamiento únicamente para la prestación del Servicio y conforme a las instrucciones documentadas del Responsable, incluidas las relativas a transferencias internacionales. Los Términos y Condiciones, este DPA y el uso normal de la Plataforma constituyen instrucciones documentadas del Responsable.
  • No tratar los datos para fines propios: no utilizar los datos para finalidades distintas de las pactadas, salvo obligación legal aplicable, en cuyo caso el Encargado informará previamente al Responsable de dicha exigencia, salvo que el Derecho lo prohíba por razones importantes de interés público.
  • Confidencialidad: garantizar que las personas autorizadas para tratar los datos se han comprometido a respetar la confidencialidad o están sujetas a una obligación legal de confidencialidad.
  • Medidas de seguridad: aplicar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, conforme al artículo 32 RGPD, incluyendo las descritas en el Anexo I de este DPA.
  • Subencargados: no recurrir a otro encargado sin la autorización previa del Responsable conforme al apartado 6 de este DPA.
  • Asistencia al Responsable: asistir al Responsable, teniendo en cuenta la naturaleza del tratamiento y la información disponible, para que pueda cumplir con las obligaciones derivadas de los artículos 32 a 36 RGPD (seguridad, notificación de brechas, evaluación de impacto y consulta previa).
  • Atención de derechos: asistir al Responsable, en la medida de lo posible y mediante medidas técnicas y organizativas apropiadas, en el cumplimiento de su obligación de responder a las solicitudes de ejercicio de derechos de los interesados (acceso, rectificación, supresión, oposición, limitación, portabilidad, decisiones automatizadas).
  • Devolución o supresión: a elección del Responsable, suprimir o devolver los datos personales una vez finalizada la prestación del Servicio, así como suprimir las copias existentes, salvo que se requiera la conservación de los datos por imperativo legal.
  • Información y auditoría: poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones del artículo 28 RGPD, así como permitir y contribuir a la realización de auditorías, conforme al apartado 9 de este DPA.

5. Obligaciones del Responsable

El Responsable se obliga a:

  • Disponer de la base legitimadora adecuada para el tratamiento de los datos que sube, conecta o procesa a través de la Plataforma.
  • Cumplir con el deber de información a los interesados sobre el tratamiento de sus datos.
  • Garantizar que los datos facilitados al Encargado son exactos, adecuados, pertinentes y limitados a lo necesario para las finalidades del tratamiento.
  • Atender las solicitudes de ejercicio de derechos de los interesados que le sean dirigidas, contando para ello con la asistencia del Encargado.
  • Realizar, cuando proceda, una evaluación de impacto relativa a la protección de datos (DPIA) en los términos del artículo 35 RGPD.
  • Cumplir con las obligaciones que le correspondan como Responsable del Tratamiento conforme al RGPD y la LOPDGDD.
  • Notificar al Encargado, sin dilación indebida, cualquier incidencia relevante relacionada con el tratamiento de los datos.
  • No subir o procesar a través de la Plataforma datos para los que no se disponga de base legitimadora adecuada o que vulneren derechos de terceros.

6. Subencargados

6.1 Autorización general

El Responsable autoriza expresamente al Encargado a contratar a terceros subencargados de tratamiento, necesarios para la prestación del Servicio, conforme a la relación inicial recogida en el Anexo II de este DPA.

6.2 Cambios en los subencargados

El Encargado informará al Responsable de cualquier cambio previsto en la incorporación o sustitución de subencargados con una antelación mínima de 30 días naturales, salvo cuando dicho plazo no sea posible por razones de urgencia justificadas. La notificación podrá realizarse mediante publicación en el sitio web del Servicio, comunicación por correo electrónico u otros canales habituales de comunicación con el Cliente.

El Responsable podrá oponerse motivadamente a la incorporación de un nuevo subencargado en el plazo de 30 días naturales desde la notificación. En tal caso, las partes negociarán de buena fe una solución alternativa. Si no se alcanzase un acuerdo en un plazo razonable, cualquiera de las partes podrá resolver el contrato sin penalización, conservando el Cliente el derecho a la devolución de las cantidades pagadas correspondientes a periodos no consumidos.

6.3 Obligaciones de los subencargados

El Encargado garantizará que los subencargados están vinculados por obligaciones de protección de datos equivalentes a las pactadas en el presente DPA mediante los correspondientes contratos. El Encargado responderá frente al Responsable del cumplimiento por parte de los subencargados de dichas obligaciones.

7. Tratamiento mediante Inteligencia Artificial

Para la prestación del Servicio, el Encargado utiliza modelos de Inteligencia Artificial proporcionados por OpenAI Ireland Ltd. («OpenAI») a través de su API. Las partes reconocen que:

  • Modalidad sin retención: el Encargado utiliza la API de OpenAI bajo la modalidad que garantiza la no retención de datos por parte de OpenAI más allá de su procesamiento inmediato (zero data retention), conforme al acuerdo contractual firmado con dicho proveedor.
  • No entrenamiento: los datos personales del Responsable y de los Usuarios Finales no se utilizarán para entrenar, reentrenar, ajustar o mejorar los modelos de OpenAI ni de ningún otro proveedor.
  • Procesamiento puntual: los datos enviados a OpenAI se procesan únicamente con la finalidad de generar la respuesta solicitada por el Usuario Final y no se conservan en los sistemas de OpenAI tras dicho procesamiento.
  • Limitaciones de la IA: el Responsable reconoce que las respuestas generadas mediante IA pueden contener errores y se obliga a revisarlas antes de adoptar decisiones basadas en ellas, especialmente cuando estas tengan efectos legales, financieros o similares.

8. Transferencias internacionales de datos

Los datos personales se almacenan principalmente en la región de Microsoft Azure España (Madrid). No obstante, determinados subencargados (en particular, OpenAI y proveedores de comunicaciones electrónicas) pueden estar ubicados o realizar tratamientos en países fuera del Espacio Económico Europeo, principalmente Estados Unidos.

Cuando se realicen transferencias internacionales, el Encargado garantizará que dichas transferencias se realizan con las garantías adecuadas previstas en los artículos 44 y siguientes del RGPD, mediante alguno de los siguientes mecanismos:

  • Decisión de adecuación de la Comisión Europea, incluido el EU-U.S. Data Privacy Framework para los proveedores certificados.
  • Cláusulas Contractuales Tipo aprobadas por la Decisión de Ejecución (UE) 2021/914 de la Comisión Europea.
  • Medidas técnicas y organizativas complementarias cuando resulte necesario tras el correspondiente análisis de impacto.

El Responsable autoriza al Encargado a realizar las transferencias internacionales necesarias para la prestación del Servicio, sujeto a las garantías indicadas. El Encargado pondrá a disposición del Responsable, previa solicitud razonable, la documentación justificativa de las garantías aplicadas.

9. Auditorías

El Responsable tiene derecho a verificar el cumplimiento por parte del Encargado de las obligaciones derivadas del presente DPA mediante:

  • Solicitud al Encargado de información razonable sobre las medidas técnicas y organizativas aplicadas.
  • Aceptación de certificaciones, informes de auditoría externa o esquemas de protección de datos a los que el Encargado se haya adherido.
  • Auditoría in situ, previo aviso por escrito con al menos 30 días naturales de antelación, en horario laboral y de forma que no interfiera con el normal funcionamiento del Encargado.

Las auditorías in situ se limitarán a una vez al año, salvo en caso de incidente de seguridad confirmado o requerimiento de autoridad competente. Los costes de la auditoría serán asumidos por el Responsable, salvo que de la misma se deriven incumplimientos relevantes del Encargado, en cuyo caso este asumirá los costes razonables.

El auditor designado por el Responsable deberá ser independiente y firmar un acuerdo de confidencialidad con el Encargado antes de realizar la auditoría. No podrá tratarse de un competidor del Encargado.

10. Notificación de brechas de seguridad

El Encargado notificará al Responsable, sin dilación indebida y, en cualquier caso, en un plazo máximo de 72 horas desde su conocimiento, cualquier violación de la seguridad de los datos personales (brecha) que afecte a los datos objeto del presente DPA. La notificación incluirá, en la medida en que sea posible:

  • La naturaleza de la brecha, incluidas, cuando sea posible, las categorías y el número aproximado de interesados afectados, así como las categorías y el número aproximado de registros de datos afectados.
  • Los datos de contacto del Encargado para obtener más información.
  • Las posibles consecuencias de la brecha.
  • Las medidas adoptadas o propuestas para remediar la brecha y, en su caso, mitigar sus posibles efectos negativos.

El Encargado asistirá al Responsable en el cumplimiento de sus obligaciones de notificación a la autoridad de control y a los interesados, en su caso, conforme a los artículos 33 y 34 RGPD.

11. Devolución y supresión de los datos

Una vez finalizada la prestación del Servicio, el Encargado procederá, a elección del Responsable, a:

  • Devolver al Responsable los datos personales objeto del tratamiento, en formato estructurado y de uso común, mediante exportación a través de la Plataforma o por los medios que se acuerden.
  • Suprimir los datos personales y las copias existentes en sus sistemas activos.

El Responsable dispondrá de un plazo de 30 días naturales desde la finalización del Servicio para descargar o exportar sus datos. Transcurrido dicho plazo sin que el Responsable se haya pronunciado, el Encargado procederá a la supresión de los datos personales de sus sistemas activos.

No obstante lo anterior, el Encargado podrá conservar copias de los datos durante los plazos legales aplicables (en particular, copias de seguridad rotativas y datos exigidos por normativa fiscal o mercantil), garantizando que dichas copias quedan bloqueadas y solo serán objeto de tratamiento para las finalidades estrictamente legales que motivan su conservación.

12. Responsabilidad

Cada parte responderá frente a los interesados por los daños y perjuicios causados como consecuencia del incumplimiento de sus respectivas obligaciones conforme al RGPD.

En la relación entre las partes, la responsabilidad del Encargado por incumplimientos del presente DPA quedará sujeta a las limitaciones establecidas en los Términos y Condiciones del Servicio, salvo en aquellos supuestos en los que la normativa de protección de datos imponga una responsabilidad mayor por mandato imperativo.

Sin perjuicio de lo anterior, el Encargado no responderá de los daños derivados del incumplimiento por parte del Responsable de sus obligaciones, en particular cuando el Responsable haya facilitado al Encargado datos sin la base legitimadora adecuada o haya impartido instrucciones contrarias a la normativa de protección de datos.

13. Vigencia

El presente DPA entrará en vigor desde la aceptación de los Términos y Condiciones del Servicio o, en su caso, desde la firma del DPA por las partes, y permanecerá vigente durante toda la duración del tratamiento de datos por parte del Encargado por cuenta del Responsable.

Las obligaciones de confidencialidad, devolución o supresión de datos y aquellas otras que por su naturaleza deban subsistir, se mantendrán en vigor tras la finalización del Servicio.

14. Legislación aplicable y jurisdicción

El presente DPA se rige por la legislación española y por la normativa europea de protección de datos. Para la resolución de cualquier controversia derivada del mismo, las partes se someten a los Juzgados y Tribunales de Palma (Illes Balears, España), salvo que la normativa de protección de datos o de protección al consumidor establezca un fuero distinto de carácter imperativo.

ANEXO I — Medidas técnicas y organizativas de seguridad

El Encargado aplica las siguientes medidas técnicas y organizativas para garantizar un nivel de seguridad adecuado al riesgo, conforme al artículo 32 del RGPD:

1. Medidas de control de acceso

  • Autenticación de los Usuarios Finales mediante usuario y contraseña, con políticas de complejidad y caducidad.
  • Soporte para autenticación multifactor (MFA) cuando esté disponible.
  • Sistema de roles y permisos (RBAC) para limitar el acceso a la información según el perfil del usuario.
  • Registro y auditoría de los accesos a la Plataforma.

2. Cifrado

  • Cifrado de las comunicaciones en tránsito mediante TLS 1.2 o superior.
  • Cifrado de los datos en reposo mediante AES-256 o equivalente.
  • Gestión segura de claves criptográficas a través de la infraestructura de Microsoft Azure.

3. Confidencialidad e integridad

  • Compromiso de confidencialidad de todo el personal con acceso a los datos.
  • Segregación lógica de los datos entre los distintos Clientes (multitenancy seguro).
  • Mecanismos de control de integridad de la información almacenada.

4. Disponibilidad y resiliencia

  • Alojamiento en infraestructuras de Microsoft Azure con alta disponibilidad y redundancia.
  • Copias de seguridad periódicas con políticas de retención definidas.
  • Procedimientos documentados de recuperación ante desastres.

5. Verificación, evaluación y mejora continua

  • Revisiones periódicas de la configuración de seguridad y de las políticas internas.
  • Análisis de vulnerabilidades sobre la Plataforma.
  • Procesos de gestión de incidentes con plazos de respuesta y notificación definidos.

6. Medidas organizativas

  • Política interna de protección de datos y seguridad de la información.
  • Formación periódica del personal en materia de protección de datos y ciberseguridad.
  • Acuerdos de confidencialidad con todos los proveedores y subencargados.
  • Procedimiento documentado de gestión de altas, bajas y modificaciones de personal.

ANEXO II — Subencargados autorizados

A la fecha de la última actualización de este DPA, los subencargados autorizados son los siguientes:

SubencargadoFinalidadLocalización del tratamientoGarantías de transferencia internacional
Microsoft Ireland Operations Ltd. (Microsoft Azure)Alojamiento de la Plataforma y almacenamiento de los datos del ClienteEspaña (Región Azure España Centro)Tratamiento dentro de la UE. Para soporte global: Cláusulas Contractuales Tipo y Data Privacy Framework.
OpenAI Ireland Ltd.Procesamiento de consultas mediante modelos de IA (modalidad sin retención de datos / zero data retention)Unión Europea / Estados UnidosCláusulas Contractuales Tipo y, en su caso, Data Privacy Framework. Acuerdo específico de no retención y no entrenamiento.
Stripe Payments Europe Ltd.Procesamiento de pagos y gestión de facturaciónIrlanda / Estados UnidosCláusulas Contractuales Tipo y Data Privacy Framework.
Proveedores de envío de correo transaccionalEnvío de correos electrónicos transaccionales y notificaciones del ServicioUnión Europea / Estados UnidosCláusulas Contractuales Tipo y, en su caso, Data Privacy Framework.

La relación detallada y actualizada de subencargados, así como las garantías concretas aplicadas a las transferencias internacionales, puede solicitarse al Encargado en la dirección gescon@nurialabs.com.