Acuerdo de Encargo del Tratamiento (DPA) · Art. 28 RGPD

1 Objeto del Acuerdo

El presente Acuerdo de Encargo del Tratamiento (en adelante, el «DPA») tiene por objeto regular el tratamiento de datos personales que TOWINIA, como encargado del tratamiento, realiza por cuenta del cliente, que actúa como responsable del tratamiento, en el marco de la prestación de los servicios de inteligencia artificial soberana contratados (Towin Torre, Towinia Cloud, agentes de IA y servicios de ciberseguridad gestionada). Asimismo, este DPA se suscribe en cumplimiento de lo dispuesto en el artículo 28 del Reglamento (UE) 2016/679 (RGPD) y en la Ley Orgánica 3/2018 (LOPDGDD).

2 Identificación de las Partes

Responsable del Tratamiento (Cliente): La persona física o jurídica que contrata los servicios de TOWINIA y determina los fines y medios del tratamiento de los datos personales.

Encargado del Tratamiento: Torras Y Borrallo Servicios Informáticos SLU (TOWINIA), con CIF B66943713, domicilio en Calle Puerta Nueva 22, 49002 Zamora, España, y correo electrónico info@tybsi.es. Por su parte, la sociedad se encuentra inscrita en el Registro Mercantil de Barcelona, Tomo 45.774, Folio 214, Hoja B-498.590, Inscripción 1ª.

3 Duración

El presente DPA estará en vigor mientras se mantenga la relación contractual entre el cliente y TOWINIA para la prestación de los servicios de inteligencia artificial on premise España – UE. Una vez finalizado el servicio, TOWINIA suprimirá todos los datos personales tratados por cuenta del cliente o los devolverá al cliente, según instruya éste, y además destruirá cualquier copia existente, salvo que exista una obligación legal de conservación.

4 Naturaleza, Finalidad y Categorías de Datos

Naturaleza del tratamiento: Procesamiento de datos mediante agentes de inteligencia artificial soberana (LEZO, GONDOMAR, BAZÁN, GÁLVEZ, CISNEROS, SECRETARIOS) para los fines especificados por el cliente en el contrato de servicios. En cuanto a la finalidad, consiste en la prestación de los servicios contratados, incluyendo ciberseguridad con IA y cumplimiento NIS2 empresa, monitorización 24/7, correlación de eventos SIEM, generación de documentación normativa y defensa activa. Por lo que respecta a las categorías de datos, serán las determinadas por el cliente según su uso del servicio y descritas en el Anexo I del presente DPA.

5 Obligaciones de TOWINIA como Encargado del Tratamiento

TOWINIA, como encargado del tratamiento, se obliga a:

• a) Tratar los datos únicamente según instrucciones documentadas del cliente. En particular, no utilizará los datos para fines propios ni para el entrenamiento de modelos de terceros, garantizando así la inteligencia artificial soberana.
• b) Garantizar la confidencialidad del personal autorizado. Todo el personal de TOWINIA que acceda a datos personales ha suscrito compromisos de confidencialidad y ha recibido formación específica en protección de datos.
• c) Implementar medidas técnicas y organizativas apropiadas (detalladas en el Anexo II) para garantizar un nivel de seguridad adecuado al riesgo, conforme al Artículo 32 del RGPD, el Esquema Nacional de Seguridad (ENS) y la Directiva NIS2.
• d) No subcontratar sin autorización previa del cliente. TOWINIA no utiliza nubes extranjeras ni transfiere datos fuera del Espacio Económico Europeo.
• e) Asistir al cliente en la atención de solicitudes de ejercicio de derechos de los interesados, en la realización de evaluaciones de impacto y en la notificación de brechas de seguridad.
• f) Notificar al cliente sin dilación indebida cualquier violación de seguridad que afecte a los datos personales tratados, y en cualquier caso en un plazo máximo de 24 horas desde su detección.
• g) Poner a disposición del cliente toda la información necesaria para demostrar el cumplimiento de las obligaciones del presente DPA, así como permitir auditorías, incluidas inspecciones por parte del cliente o de un auditor autorizado.

6 Subencargados del Tratamiento

TOWINIA no utiliza subencargados del tratamiento para la prestación de sus servicios principales. En caso de que en el futuro fuera necesario recurrir a algún subencargado, TOWINIA solicitará la autorización previa y por escrito del cliente, informando de la identidad y garantías del subencargado propuesto. Asimismo, TOWINIA se asegurará de que cualquier subencargado autorizado asuma las mismas obligaciones de protección de datos que las establecidas en el presente DPA.

7 Transferencias Internacionales de Datos

TOWINIA no realiza transferencias internacionales de datos fuera del Espacio Económico Europeo. Por consiguiente, todos los datos personales tratados por cuenta del cliente residen íntegramente en servidores ubicados en el Centro de Datos propio de TOWINIA en Zamora, España, garantizando así la residencia de datos soberana 100% España – UE.

8 Derechos y Obligaciones del Cliente

El cliente, como responsable del tratamiento, conserva en todo momento la facultad de dictar instrucciones documentadas a TOWINIA sobre el tratamiento de sus datos. Asimismo, el cliente es responsable de:

• Determinar la licitud del tratamiento y disponer de una base jurídica adecuada.
• Informar a los interesados sobre el tratamiento de sus datos.
• Atender las solicitudes de ejercicio de derechos que los interesados le dirijan directamente.

9 Legislación Aplicable y Jurisdicción

El presente DPA se rige por la legislación española y, en su caso, por la normativa de la Unión Europea. En consecuencia, para cualquier controversia que pudiera derivarse de la interpretación o ejecución del presente acuerdo, las partes se someten a los juzgados y tribunales de la ciudad de Zamora, España.