Acuerdo de Tratamiento de Datos

Este Acuerdo de Tratamiento de Datos (en adelante, "DPA") regula las obligaciones de RAXAR como encargado del tratamiento cuando prestamos servicios a un cliente (en adelante, "Responsable") que, en el curso normal de la contratación, nos instruye para tratar datos personales de terceros (empleados, clientes finales, prospectos) en su nombre. — **Responsable del tratamiento:** el cliente que contrata los servicios de RAXAR. — **Encargado del tratamiento:** RAXAR (entidad en proceso de constitución como S.L.). — **Objeto del tratamiento:** ejecución de los servicios SaaS contratados (automatizaciones, dashboards, agentes autónomos, integraciones, formación, consultoría estratégica). Este DPA se integra automáticamente en el contrato principal firmado con el cliente. Prevalece sobre cualquier condición contradictoria del contrato principal en lo relativo a protección de datos.

RAXAR tratará los datos personales del Responsable exclusivamente para las finalidades descritas en el contrato de servicios: — Prestación de los servicios SaaS contratados (procesamiento de leads, triaje de emails, scoring de candidatos, análisis de documentos, monitorización de sistemas, etc.). — Ejecución de las automatizaciones y workflows configurados por el cliente o bajo sus instrucciones. — Almacenamiento, procesamiento y devolución de los resultados al cliente mediante la plataforma RAXAR y los canales integrados. — Soporte técnico y resolución de incidencias (cuando el cliente lo solicite expresamente). RAXAR **no utilizará** los datos del Responsable para fines propios (entrenamiento de modelos, benchmarking comercial, cesión a terceros, perfilado cruzado entre clientes). El aislamiento multi-tenant se aplica a nivel de base de datos mediante Row Level Security (RLS) e identificación por client_id en todas las operaciones.

Según el servicio contratado, los datos personales tratados pueden incluir: — **Datos de contacto** — nombre, email, teléfono, empresa, cargo. — **Datos profesionales** — CV, experiencia, formación (en el caso de Gestión de Talento). — **Comunicaciones** — emails entrantes/salientes, conversaciones de chat (en el caso de Bandeja Inteligente/Chat de Soporte IA). — **Datos financieros operativos** — facturas, pedidos, documentos contables (en el caso de Cobro Inteligente y Análisis Documental). — **Datos técnicos** — logs, métricas de uso, identificadores de sesión (para monitorización y análisis). El Responsable garantiza haber obtenido las bases legales adecuadas para que RAXAR pueda tratar estos datos en su nombre.

RAXAR se compromete a: — Tratar los datos personales únicamente siguiendo instrucciones documentadas del Responsable. — Garantizar que el personal autorizado para tratar los datos esté sujeto a deberes de confidencialidad vinculantes. — Aplicar medidas técnicas y organizativas apropiadas conforme al art. 32 RGPD (ver sección 6). — Asistir al Responsable en el cumplimiento de sus obligaciones RGPD, incluyendo: · Atención de derechos de los interesados (acceso, rectificación, supresión, portabilidad, limitación, oposición) en un plazo máximo de 15 días naturales desde la solicitud. · Evaluaciones de impacto (EIPD / DPIA) relativas a los tratamientos realizados por RAXAR. · Notificación de brechas de seguridad (sin demora indebida, nunca más allá de 48 horas desde el conocimiento). — Permitir auditorías razonables por parte del Responsable o de un auditor externo designado por éste, previa notificación con 30 días naturales de antelación. — Devolver o suprimir los datos personales al finalizar la prestación de los servicios, conforme a las instrucciones del Responsable (ver sección 8).

RAXAR utiliza los siguientes subencargados del tratamiento para prestar los servicios contratados. El cliente da su consentimiento general al subencargo con la firma del contrato; cualquier cambio sustancial será notificado con 30 días de antelación para permitir objeción motivada. — **Hostinger International Ltd.** (Chipre) — Alojamiento VPS (servidores en la UE). — **Anthropic PBC** (EE.UU.) — Procesamiento NLP para Chat de Soporte IA y agentes. Transferencia protegida mediante Cláusulas Contractuales Estándar (SCCs 2021/914). — **Groq Inc.** (EE.UU.) — Procesamiento NLP de alta velocidad. SCCs aplicables. — **PostHog Inc.** (EU Cloud) — Analítica de producto. Servidores en la UE. — **Stripe Payments Europe Ltd.** (Irlanda) — Procesamiento de pagos (solo datos de facturación B2B, no acceso a datos de interesados del cliente). — **Sanity.io** (Noruega / EEE) — Gestión de contenido público (no datos personales del cliente). La lista completa y actualizada es el Anexo III de este documento. Notificaciones de cambios se envían al email de contacto registrado del Responsable con 30 días de antelación.

RAXAR aplica las siguientes medidas técnicas y organizativas, revisadas periódicamente: **Técnicas:** — Cifrado en tránsito (TLS 1.3) para todas las comunicaciones entre cliente, dashboard y backend. — Cifrado en reposo para datos sensibles (AES-256) en la capa de base de datos. — Aislamiento multi-tenant mediante Row Level Security (RLS) en PostgreSQL con 138+ políticas activas en el esquema de producción. — Autenticación multifactor (2FA) obligatoria para acceso administrativo a la plataforma. — Rotación periódica de credenciales y tokens de acceso (trimestral mínimo; incidencia → inmediata). — Logging centralizado, monitorización en tiempo real y guardrails para todas las llamadas a sistemas de IA. — Backups automáticos diarios con retención offsite en ubicación geográficamente separada. — Sandboxing y validación estricta (allowlist) para cualquier ejecución de código generado por IA. **Organizativas:** — Principio de mínimo privilegio y RBAC granular (4 roles: superadmin, admin, team, client). — Compromiso de confidencialidad firmado por todo el personal con acceso a datos. — Política documentada de respuesta a incidentes con RTO/RPO definidos. — Formación en RGPD y seguridad para el equipo. — Revisión anual de proveedores y subencargados.

Cuando un servicio requiere transferir datos a un país fuera del Espacio Económico Europeo (EEE), RAXAR garantiza: — Transferencia a países con decisión de adecuación de la Comisión Europea, o — Cláusulas Contractuales Estándar (SCCs 2021/914) en vigor, complementadas con las medidas adicionales requeridas tras la sentencia Schrems II del TJUE (C-311/18), o — Normas Corporativas Vinculantes (BCRs) aplicables del subencargado. Los subencargados actuales con transferencia internacional son Anthropic y Groq (EE.UU.), ambos con SCCs firmados. Si el cliente objeta motivadamente una transferencia específica, RAXAR ofrecerá alternativas disponibles (por ejemplo, enrutado a modelos locales en torre RAXAR mediante privacy_mode) o, si no fuera posible mantener el servicio sin dicha transferencia, la extinción del servicio afectado.

Durante la vigencia del contrato, RAXAR conservará los datos por el tiempo estrictamente necesario para la prestación de los servicios, conforme a las instrucciones del Responsable. Al finalizar el contrato (por cualquier causa), el Responsable dispone de 30 días naturales para elegir: — **Devolución** de los datos en formato estructurado (CSV, JSON, SQL dump), o — **Supresión** certificada de todos los datos tratados, incluyendo copias de respaldo. Pasados los 30 días sin instrucción, RAXAR procederá por defecto a la supresión certificada. Los backups offsite se purgan según el ciclo establecido (retención máxima: 90 días tras la supresión). RAXAR emitirá un certificado de supresión a solicitud del Responsable. RAXAR podrá conservar los datos estrictamente necesarios para cumplir obligaciones legales propias (facturación fiscal, defensa de reclamaciones) por el mínimo tiempo legalmente exigido.

Si RAXAR tiene conocimiento de una violación de la seguridad de los datos personales tratados por cuenta del Responsable (en los términos del art. 4.12 RGPD), notificará al Responsable sin demora indebida y, en todo caso, dentro de las 48 horas siguientes al conocimiento. La notificación incluirá, en la medida disponible: — Naturaleza de la violación y categorías / volumen aproximado de interesados y datos afectados. — Consecuencias probables y medidas adoptadas o propuestas para mitigar efectos. — Datos de contacto del Responsable de Seguridad de RAXAR. — Estado de la investigación y plan de notificación a interesados y autoridades, si aplicara. RAXAR mantendrá un registro interno de brechas a disposición del Responsable o autoridades de control.

RAXAR asistirá al Responsable en la atención de solicitudes de los interesados (derechos de acceso, rectificación, supresión, limitación, portabilidad y oposición) mediante: — Un canal dedicado para la transmisión de solicitudes: `privacidad@raxar.es`. — Herramientas self-service en la plataforma RAXAR cuando el volumen de solicitudes lo justifique. — Respuesta técnica dentro de 15 días naturales desde la recepción de la solicitud del Responsable, para permitir al Responsable responder al interesado dentro del plazo legal de 30 días. El Responsable es el único legitimado para responder directamente al interesado; RAXAR no contactará al interesado por iniciativa propia salvo instrucción explícita.

Este DPA entra en vigor con la firma del contrato principal de servicios y permanece vigente mientras dure dicho contrato más el período de retención posterior (sección 8). Se rige por la legislación española y europea aplicable en materia de protección de datos (RGPD, LOPDGDD). Para cualquier controversia relacionada con este DPA, las partes se someten con renuncia expresa a cualquier otro fuero a los Juzgados y Tribunales de la ciudad de Algeciras (España), salvo que la normativa aplicable al Responsable o a los interesados imponga otro fuero obligatorio. Cualquier modificación de este DPA requerirá acuerdo por escrito. RAXAR podrá actualizar la lista de subencargados y las medidas de seguridad conforme a los procedimientos descritos en las secciones 5 y 6, comunicándolo al Responsable con la antelación prevista.

RAXAR pone a disposición del Responsable, bajo solicitud, la siguiente documentación para asistir en la realización de la *Data Protection Impact Assessment* (DPIA / EIPD · Art. 35 RGPD): — Ficha técnica de los tratamientos realizados por nuestros sistemas. — Diagrama de flujos de datos y sub-procesadores intervinientes. — Evaluación de riesgos y medidas de mitigación aplicadas (de nuestras plantillas internas basadas en `Plantilla_EIPD_IA.docx`). — Registro de actividades de tratamiento (RAT · Art. 30) relativo a los servicios contratados. Solicitudes a **privacidad@raxar.es** · respuesta en 15 días naturales.

Para cualquier cuestión relacionada con este DPA o con la protección de datos personales en RAXAR: — **Email dedicado:** privacidad@raxar.es — **Contacto general:** contacto@raxar.es — **Contacto legal:** legal@raxar.es — **Responsable designado (DPD / DPO):** RAXAR no está obligada legalmente a designar un DPD (Art. 37 RGPD · no hay observación sistemática a gran escala ni tratamiento a gran escala de categorías especiales como actividad principal). El canal dedicado `privacidad@raxar.es` es gestionado por el equipo directivo con responsabilidad formal en materia de protección de datos. La autoridad de control competente en España es la **Agencia Española de Protección de Datos (AEPD, www.aepd.es)**. Los interesados afectados por tratamientos realizados por RAXAR como encargado pueden presentar reclamación ante la AEPD o ante la autoridad competente de su residencia.

**Objeto:** prestación de servicios SaaS de automatización e inteligencia artificial según el contrato principal. **Duración:** mientras esté en vigor el contrato de servicios + período de retención post-terminación definido en la sección 8. **Naturaleza del tratamiento:** recogida, estructuración, almacenamiento, consulta, uso, comunicación (al propio Responsable), conservación, supresión o destrucción de datos personales. **Finalidad específica:** prestación de las funcionalidades del producto contratado (e.g. triaje automático de emails entrantes del Responsable, scoring de leads captados por el Responsable, etc.). **Tipo de datos personales:** datos de contacto, profesionales, comunicaciones, datos financieros operativos y datos técnicos según servicio (detallado en sección 3). **Categorías de interesados:** empleados, clientes, prospectos, candidatos y cualquier otra persona física cuyos datos el Responsable introduzca o autorice el procesamiento en la plataforma RAXAR.

Medidas implementadas por RAXAR conforme al Art. 32 RGPD: **A. Pseudonimización y cifrado de datos personales:** — Cifrado en tránsito TLS 1.3. — Cifrado en reposo AES-256 para datos sensibles. — Pseudonimización lógica mediante tenant_id en todas las tablas operativas. **B. Confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas:** — RLS (Row Level Security) con 138+ políticas activas. — 2FA obligatoria para administradores. — Backups diarios automáticos con verificación de integridad. — Arquitectura resiliente con contenedores auto-healing y monitorización 24/7. **C. Capacidad de restaurar la disponibilidad y el acceso a los datos de forma rápida en caso de incidente:** — RPO objetivo: 24 horas. — RTO objetivo: 4 horas para servicios críticos · 8h para no críticos. — Runbooks de respuesta a incidentes documentados. **D. Proceso de verificación, evaluación y valoración regulares de la eficacia:** — Auditorías técnicas trimestrales. — Pruebas de *disaster recovery* semestrales. — Revisión anual de proveedores y sub-procesadores. — Logs centralizados con retención 90 días para forensics.

Lista actualizada de sub-procesadores con acceso potencial a datos personales del Responsable. La lista vigente se mantiene en `raxar.es/dpa/subprocesadores` y se notifica por email al Responsable cualquier cambio sustancial con 30 días de antelación. **Infraestructura:** — Hostinger International Ltd. (Chipre · servidores UE · ISO 27001) · alojamiento VPS. **Modelos IA (transferencia internacional · SCCs 2021/914):** — Anthropic PBC (EE.UU.) · procesamiento NLP general. — Groq Inc. (EE.UU.) · procesamiento NLP rápido. — OpenAI (EE.UU.) · uso ocasional según configuración del Responsable. **Analítica y observabilidad:** — PostHog Inc. (EU Cloud) · analítica de producto agregada y anonimizada. — GlitchTip (self-hosted en nuestra infraestructura EU) · error tracking técnico. **Comunicación y email:** — Infraestructura self-hosted Stalwart (EU · sin sub-procesador externo de email). **Pagos:** — Stripe Payments Europe Ltd. (Irlanda · EU) · procesamiento de pagos (datos de facturación B2B del Responsable · no datos de interesados). **CMS contenido público:** — Sanity.io (Noruega · EEE) · sin datos personales del Responsable. El Responsable puede objetar motivadamente cualquier sub-procesador en un plazo de 30 días naturales desde la notificación. Si no fuera posible mantener el servicio afectado sin ese sub-procesador, las partes acordarán una solución razonable (alternativa técnica, exclusión del servicio afectado, o resolución parcial sin penalización).