# CONTRATO DE ENCARGADO DEL TRATAMIENTO DE DATOS PERSONALES **(Art. 28 RGPD + LOPDGDD)** Versión: 4 de mayo de 2026 > **Cómo usar este documento:** > Es la plantilla del contrato de tratamiento (DPA) que Ackmode firma con cada cliente. Los campos entre `[CORCHETES]` los rellenas tú como cliente. Los datos del Encargado (Ackmode) ya están cumplimentados. > Una vez completado, devuélvelo firmado a `support@ackmode.com` y te lo devolveremos firmado por nuestra parte. > Si necesitas el documento en otro formato (Word, PDF) o con cláusulas adicionales, escríbenos y lo adaptamos. --- En `[CIUDAD]`, a `[FECHA DE FIRMA]`. ## 1. Partes **RESPONSABLE DEL TRATAMIENTO** (en adelante, "el Responsable"): - Nombre / Razón social: `[NOMBRE O RAZÓN SOCIAL DEL CLIENTE]` - NIF / CIF: `[NIF O CIF]` - Domicilio: `[DOMICILIO COMPLETO]` - Actividad: `[ACTIVIDAD PRINCIPAL]` - Representante: `[NOMBRE Y APELLIDOS DEL REPRESENTANTE]` - Email de contacto: `[EMAIL DE CONTACTO]` **ENCARGADO DEL TRATAMIENTO** (en adelante, "el Encargado"): - Nombre comercial: Ackmode - Titular: Marc Peña Robert (persona física, opera bajo el nombre comercial Ackmode) - Domicilio: Barcelona (España) - Actividad: Servicio de automatización para negocios con citas (SaaS) - Email de contacto: support@ackmode.com En adelante, conjuntamente denominadas "las Partes". --- ## 2. Objeto del encargo El Responsable encarga al Encargado el tratamiento de datos personales necesario para la prestación del servicio Ackmode contratado, que comprende, según el plan elegido: - Panel de gestión accesible desde un subdominio dedicado del Responsable. - Mensajería automatizada por WhatsApp (recordatorios de citas, captación de reseñas, reactivación de clientes inactivos, seguimientos post-servicio). - Almacenamiento de datos de clientes/pacientes/usuarios del Responsable. - Generación de paneles e informes para el Responsable. El presente contrato regula las condiciones en que el Encargado tratará datos personales por cuenta del Responsable, conforme al artículo 28 del Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD). --- ## 3. Duración Este contrato entra en vigor en la fecha de firma y permanece vigente mientras dure la suscripción al servicio Ackmode contratada por el Responsable. Fecha de inicio: `[FECHA DE INICIO DE LA SUSCRIPCIÓN]`. Se resuelve automáticamente al finalizar la suscripción. Cualquiera de las Partes puede instarlo por incumplimiento grave previa notificación con 30 días de antelación. --- ## 4. Naturaleza y finalidad del tratamiento El tratamiento se realiza exclusivamente para las siguientes finalidades, según las instrucciones del Responsable: 1. Almacenamiento y gestión de datos de clientes/pacientes/usuarios del Responsable en la cuenta dedicada del Responsable. 2. Envío automatizado de comunicaciones por WhatsApp y/o email (recordatorios, seguimientos, reactivaciones, captación de reseñas). 3. Generación de dashboards y paneles de gestión para uso exclusivo del Responsable. 4. Ejecución de los flujos automatizados configurados por el Responsable desde su panel. Operaciones de tratamiento: recogida, registro, estructuración, conservación, consulta, comunicación por transmisión y supresión. --- ## 5. Tipos de datos personales tratados - Datos identificativos: nombre, apellidos, teléfono, email. - Datos de citas / sesiones: fecha, hora, tipo de servicio, estado, notas. - Datos de transacciones (cuando aplique): productos o servicios contratados, importes, estado del pedido. - Datos de comunicaciones: mensajes enviados y recibidos, canal, fecha de envío, estado de entrega. - `[DATOS ADICIONALES SI EL RESPONSABLE LOS APORTA]` No se tratarán datos especialmente protegidos (art. 9 RGPD) salvo instrucción expresa y documentada del Responsable. No se tratarán datos de menores de 14 años salvo instrucción expresa del Responsable, quien será el único responsable de obtener el consentimiento legalmente exigible. --- ## 6. Categorías de interesados - Clientes del Responsable. - Pacientes del Responsable (cuando aplique). - Usuarios o contactos comerciales del Responsable. - `[CATEGORÍAS ADICIONALES SI APLICAN]` --- ## 7. Obligaciones del Encargado (Ackmode) **7.1 Instrucciones del Responsable.** Tratar los datos únicamente conforme a las instrucciones documentadas del Responsable. No utilizar los datos para finalidades propias ni cederlos a terceros. Informar inmediatamente al Responsable si una instrucción infringe el RGPD o la LOPDGDD. **7.2 Confidencialidad.** Garantizar que las personas autorizadas para tratar datos se han comprometido a respetar la confidencialidad. Limitar el acceso a los datos al personal estrictamente necesario. **7.3 Medidas de seguridad.** Aplicar las medidas técnicas y organizativas detalladas en la Cláusula 10. Evaluar periódicamente su eficacia. **7.4 Subencargados.** Recurrir únicamente a los subencargados autorizados en la Cláusula 9. Notificar al Responsable con 15 días de antelación cualquier alta o baja de subencargados, dándole derecho a oponerse. **7.5 Derechos de los interesados.** Asistir al Responsable en la atención de ejercicios de derechos (acceso, rectificación, supresión, portabilidad, oposición, limitación) en un plazo máximo de 5 días hábiles desde la solicitud. **7.6 Colaboración.** Asistir al Responsable en el cumplimiento de sus obligaciones relativas a seguridad, notificación de brechas, evaluaciones de impacto y consultas previas a la autoridad de control. **7.7 No uso para entrenamiento de IA.** El Encargado no utilizará los datos personales tratados por cuenta del Responsable para entrenar modelos de inteligencia artificial, ni los cederá a proveedores de IA con esa finalidad. **7.8 Finalización.** Al finalizar el contrato, devolver o destruir los datos conforme a la Cláusula 12. --- ## 8. Obligaciones del Responsable 1. Garantizar que dispone de base jurídica válida para el tratamiento (consentimiento, ejecución contractual, interés legítimo, etc.). 2. Informar a sus clientes/pacientes/usuarios del tratamiento de sus datos conforme al RGPD. 3. Proporcionar instrucciones documentadas al Encargado. 4. Comunicar al Encargado cualquier cambio en los datos, categorías de interesados o finalidades. 5. Atender los derechos de los interesados que le sean comunicados por el Encargado. 6. Realizar, cuando proceda, la evaluación de impacto relativa a la protección de datos (EIPD). 7. Cumplir las normas de WhatsApp, Meta y de los demás canales utilizados sobre mensajería comercial y consentimiento. --- ## 9. Subencargados autorizados El Responsable autoriza expresamente los siguientes subencargados: | Subencargado | Servicio prestado | Ubicación | Garantías | |---|---|---|---| | Hetzner Online GmbH | Hosting de servidores y bases de datos | Alemania (UE) | ISO 27001; DPA propio; cumplimiento RGPD | | Evolution API (auto-alojado por el Encargado) | Conexión técnica con WhatsApp en instancia dedicada | Servidores propios del Encargado (UE) | Aislamiento por cuenta; sin transferencia internacional adicional | | Meta Platforms Ireland Ltd. | Mensajería WhatsApp Cloud API (solo si el Responsable opta por este proveedor) | Irlanda (UE) / EE.UU. | EU-US Data Privacy Framework; DPA propio de Meta | | Stripe Payments Europe Ltd. | Procesamiento de los pagos de la suscripción | Irlanda (UE) | Cumplimiento RGPD; DPA propio | | Resend Inc. | Envío de emails transaccionales del servicio | EE.UU. | EU-US Data Privacy Framework; DPA propio | El Encargado mantendrá actualizado este listado y notificará cualquier cambio con 15 días de antelación. El Responsable podrá oponerse en un plazo de 10 días hábiles, en cuyo caso las Partes negociarán de buena fe una solución; si no fuera posible, el Responsable podrá resolver el contrato sin penalización. --- ## 10. Medidas técnicas y organizativas **Técnicas:** - Servidores dedicados en centro de datos certificado dentro de la UE. - Acceso administrativo restringido y protegido (clave SSH, sin contraseñas en claro). - HTTPS/TLS obligatorio en todas las comunicaciones, con certificados gestionados automáticamente. - Aislamiento de datos por cliente a nivel de base de datos. - Acceso público bloqueado a paneles administrativos y APIs internas. - Cabeceras de seguridad HTTP (HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy estricta). - Cifrado de credenciales y secretos en tránsito y en reposo. - Copias de seguridad diarias automatizadas con retención mínima de 7 días. - Monitorización continua y registro de accesos. **Organizativas:** - Acceso a los datos limitado al personal del Encargado estrictamente necesario. - Política de contraseñas robusta y rotación periódica de credenciales sensibles. - Procedimiento documentado de respuesta ante incidentes. - Revisión periódica de subencargados y de medidas aplicadas. --- ## 11. Notificación de brechas de seguridad El Encargado notificará al Responsable, sin dilación indebida y en un plazo máximo de **48 horas** desde que tenga conocimiento, cualquier violación de seguridad que afecte a datos personales tratados por cuenta del Responsable. La notificación incluirá, como mínimo: - Naturaleza de la violación. - Categorías y número aproximado de interesados afectados. - Datos de contacto del responsable de la gestión del incidente. - Posibles consecuencias. - Medidas adoptadas o propuestas para remediar la violación y mitigar sus efectos. El Encargado colaborará con el Responsable en la notificación a la autoridad de control competente (AEPD, plazo máximo 72 horas) y, en su caso, a los interesados afectados. --- ## 12. Devolución y destrucción de datos A la finalización del contrato, el Encargado: 1. Mantendrá los datos disponibles para exportación durante **30 días** desde la baja del servicio. 2. **Devolverá** al Responsable, a su solicitud, todos los datos personales en formato estructurado y de uso común (CSV) en un plazo máximo de **15 días hábiles**. 3. Una vez confirmada la recepción por el Responsable, **eliminará** los datos personales de los sistemas de producción y de los backups en un plazo máximo de **90 días**. 4. Certificará por escrito la destrucción cuando el Responsable lo solicite. Excepción: el Encargado podrá conservar los datos bloqueados cuando exista obligación legal de conservación, informando al Responsable de dicha circunstancia. --- ## 13. Auditorías El Responsable tendrá derecho a: 1. Solicitar al Encargado información acreditativa del cumplimiento de las obligaciones del presente contrato. 2. Realizar auditorías, por sí mismo o por un auditor independiente sujeto a confidencialidad, previa notificación con 15 días de antelación, en horario laboral y de forma que no interfiera significativamente con la actividad normal del Encargado. 3. Aceptar como prueba alternativa de cumplimiento informes de auditoría externa o certificaciones equivalentes presentadas por el Encargado, cuando los haya. El coste de la auditoría correrá a cargo del Responsable, salvo que la auditoría revele un incumplimiento del Encargado. --- ## 14. Jurisdicción y ley aplicable Este contrato se rige por la legislación española, en particular el RGPD y la LOPDGDD. Las Partes se someten a los Juzgados y Tribunales de Barcelona para cualquier controversia derivada del contrato, con renuncia expresa a cualquier otro fuero, salvo que la normativa imperativa de protección de consumidores establezca otra cosa. --- ## Firmas | | El Responsable | El Encargado | |---|---|---| | Nombre | `[NOMBRE]` | Marc Peña Robert | | Cargo | `[CARGO]` | Titular (nombre comercial Ackmode) | | Firma | | | | Fecha | `[FECHA]` | `[FECHA]` | --- *Este documento es la plantilla pública del DPA de Ackmode. Para versiones firmadas o adaptadas, escribe a support@ackmode.com.*