Contrato de Encargo de Tratamiento de Datos (DPA)

Fecha de versión: 22/09/2025

Entre las partes:

Responsable del Tratamiento: el usuario que se registra en Actaroo para transcribir actas de juntas (administrador/a de fincas u otro profesional). En adelante, el Responsable.

Encargado del Tratamiento: WebComunica Solutions ("Actaroo"), NIF 25354341P, domicilio Plaza de la Ermita 6, 29110 Monda, Málaga, email soporte@actaroo.com. En adelante, el Encargado.

Importante: Este DPA forma parte de los Términos y Condiciones de Actaroo y resulta de aplicación cuando el Responsable sube audios o documentos con datos personales de terceros para su transcripción.

1. Objeto, duración y naturaleza

El Encargado tratará datos personales exclusivamente para prestar el servicio de transcripción de audios y generación de actas del Responsable.

La duración del encargo coincide con la vigencia de la cuenta/servicio. Finalizada la relación, se aplicará lo previsto en el apartado 11 (Devolución/Borrado).

2. Categorías de interesados y tipos de datos

Interesados: asistentes a juntas (propietarios, inquilinos, representantes, proveedores), miembros de órganos de gobierno, etc.
Datos: voz (audio), identificación y datos incluidos en las actas (p. ej., nombre, piso/puerta, deudas, intervenciones), metadatos técnicos (tamaño, formato, duración), y cualquier dato que el Responsable incluya en los ficheros aportados.

No se tratan categorías especiales intencionadamente; si el Responsable incorpora datos de esa naturaleza, será bajo su exclusiva decisión y responsabilidad.

3. Instrucciones documentadas

El Encargado tratará los datos solo conforme a las instrucciones del Responsable, limitadas a:

transcripción automática de audios,
estructuración y generación de actas,
entrega al Responsable por los medios habilitados.

Prohibición de uso secundario: El Encargado no utilizará los datos para entrenar modelos ni para fines distintos a la prestación, salvo consentimiento expreso y granular del Responsable.

4. Confidencialidad

El Encargado garantiza la confidencialidad y ha suscrito compromisos con su personal para proteger los datos.

5. Seguridad (art. 32 RGPD)

El Encargado aplicará medidas técnicas y organizativas apropiadas, incluyendo:

cifrado en tránsito y en reposo;
control de acceso con MFA y principio de mínimo privilegio;
segregación lógica por cliente (tenant isolation);
registro de accesos y actividad;
copias de seguridad y pruebas de restauración;
procesos de borrado verificado;
monitoreo y hardening de la infraestructura.

El Responsable podrá solicitar información razonable (p. ej., informes o descripciones de controles) para evidenciar estas medidas.

6. Subencargados

El Encargado puede apoyarse en subencargados (hosting, correo, IA/STT, pagos). La lista actualizada está publicada en /legal/subencargados.

El Encargado informará de cambios relevantes en dicha lista; el Responsable podrá oponerse de forma razonada cuando un cambio suponga un riesgo material para la protección de datos. Si no hubiera acuerdo, el Responsable podrá resolver el servicio sin penalización.

El Encargado impondrá a los subencargados obligaciones equivalentes a las de este DPA (art. 28.4 RGPD).

7. Asistencia al Responsable

El Encargado asistirá razonablemente al Responsable para:

atender derechos de los interesados (cuando proceda);
cumplir obligaciones de seguridad, notificación de brechas y evaluaciones de impacto (EIPD).

8. Brechas de seguridad

El Encargado notificará al Responsable sin dilación indebida cualquier incidente que pueda constituir una brecha de datos personales, aportando información disponible para valorar el riesgo y, en su caso, permitir la notificación a la autoridad de control y a los interesados en plazo.

9. Transferencias internacionales

Cuando el tratamiento implique transferencias fuera del EEE, el Encargado adoptará una base de transferencia válida (p. ej., EU–US Data Privacy Framework o Cláusulas Contractuales Tipo) y medidas complementarias cuando proceda. La base aplicable por proveedor figura en /legal/subencargados.

10. Auditorías

El Responsable podrá solicitar evidencias razonables de cumplimiento (p. ej., informes externos, cuestionarios). Auditorías in situ se limitarán a casos excepcionales, con preaviso y sin afectar de forma desproporcionada la operativa.

11. Devolución y borrado de datos al finalizar

A la finalización del servicio, el Responsable podrá optar por:

devolución de datos (descarga/exportación), y/o
borrado definitivo por el Encargado.

Salvo obligación legal de conservación, el Encargado ejecutará el borrado en ≤30 días y pondrá a disposición constancia de borrado. Las copias de seguridad se sobrescribirán conforme a su ciclo.

12. Registro de Actividades

El Encargado mantendrá el Registro de Actividades de Tratamiento correspondiente a su rol, a disposición de la autoridad de control, cuando sea exigible.

13. Responsabilidad

Cada parte responderá del cumplimiento de las obligaciones que le correspondan (Responsable/Encargado) según RGPD/LOPDGDD y este DPA.

Aceptación

El Responsable acepta este DPA mediante el mecanismo clickwrap en el alta (registro) o en el panel de cuenta, quedando registrado: identidad del Responsable, IP, fecha/hora y versión del DPA.