Nodalix
ES·EN
// RGPD/GDPR · ART. 28

Data Processing Agreement (DPA)

Contrato de Encargado de Tratamiento (Art. 28 RGPD)

Partes y definiciones

Responsable del tratamiento: Cliente de Nodalix que actúa como controlador de datos personales. Encargado del tratamiento: Nodalix Consulting S.L., que procesa datos por cuenta del Responsable.

Objeto y alcance

El Encargado procesará datos personales exclusivamente para: proporcionar el servicio de portal de IA privado, mantener la infraestructura técnica, realizar backups de seguridad, y atender solicitudes de usuarios finales del Responsable.

Obligaciones del Encargado

(a) Procesar datos solo según instrucciones documentadas del Responsable; (b) Garantizar confidencialidad del personal autorizado; (c) Implementar medidas de seguridad del Anexo II; (d) Obtener autorización previa para subencargados; (e) Ayudar al Responsable en ejercicio de derechos; (f) Informar de brechas de seguridad sin dilación indebida; (g) Devolver o destruir datos al término; (h) Mantener registro de actividades.

Subencargados autorizados

Hetzner Online GmbH (hosting), Resend Inc. (servicio de email), Anthropic PBC (procesamiento de IA, con DPA SCC), OpenAI LLC (procesamiento de IA, con DPA SCC). El Encargado informará de cualquier cambio con 30 días de antelación.

Hetzner Online GmbHHosting infraestructura · Alemania
Resend Inc.Envío de emails · EEUU (SCC)
Anthropic PBCProcesamiento IA (opcional) · EEUU (DPA SCC)
OpenAI LLCProcesamiento IA (opcional) · EEUU (DPA SCC)

Medidas técnicas y organizativas

Cifrado AES-256-GCM en reposo y TLS 1.3 en tránsito. Aislamiento por cliente mediante Docker. Autenticación multifactor obligatoria. Auditoría de logs con retención 24 meses. Backups cifrados en reposo. Rotación de credenciales trimestral.

Auditoría e inspección

El Responsable tiene derecho a auditar el cumplimiento del DPA anualmente o ante incidente de seguridad. Las auditorías se realizarán en horario laboral con 15 días de preaviso, mediante cuestionario o inspección remota.

Duración y terminación

El DPA se formaliza junto al contrato de servicios. Al término, el Encargado devolverá los datos en formato estándar (exportación RGPD art. 20) y destruirá las copias, salvo obligación legal de conservación.

¿Necesitas un DPA firmado?

Los clientes de Nodalix reciben un DPA individualizado como parte del proceso de onboarding. Contáctanos para iniciar el proceso.

Solicitar diagnóstico →
Volver al inicioPolítica de privacidad →