Saltar al contenido principal

Acuerdo de Encargo de Tratamiento

Data Processing Agreement (DPA) — Art. 28 RGPD

Última actualización: Marzo 2026

1. Partes

El presente Acuerdo de Encargo de Tratamiento (en adelante, “DPA”) se celebra entre:

  • Responsable del Tratamiento:El cliente (restaurante u otro establecimiento HORECA) que contrata los servicios de ComandIA (en adelante, el “Responsable”).
  • Encargado del Tratamiento:David Villaplana Cano, con NIF 45927430H, domicilio en Calle Pebrella 3-A, 03610 Petrer, Alicante, España, operando bajo la marca comercial “ComandIA” (en adelante, el “Encargado”).

Este DPA forma parte integrante de los Términos y Condiciones del servicio y se formaliza de conformidad con el artículo 28 del Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD).

2. Objeto, duración y naturaleza del tratamiento

El Encargado tratará datos personales por cuenta del Responsable únicamente para la prestación del servicio ComandIA, consistente en:

  • Gestión de comunicaciones con clientes del restaurante a través de WhatsApp Business, con asistencia de inteligencia artificial.
  • Gestión de reservas, pedidos y consultas sobre el menú.
  • Creación y mantenimiento de perfiles de clientes del restaurante.
  • Envío de mensajes transaccionales (confirmaciones, recordatorios) mediante plantillas de WhatsApp aprobadas.
  • Transcripción de notas de voz recibidas de los clientes.

La duración del tratamiento coincidirá con la vigencia de la suscripción del Responsable al servicio ComandIA.

3. Tipos de datos personales y categorías de interesados

Categorías de interesados

  • Clientes finales del restaurante (comensales, personas que contactan vía WhatsApp).

Tipos de datos personales tratados

  • Número de teléfono móvil (WhatsApp)
  • Nombre de perfil de WhatsApp
  • Contenido de mensajes de texto
  • Notas de voz y grabaciones de audio
  • Datos de reservas (fecha, hora, número de comensales, observaciones)
  • Datos de pedidos (productos, cantidades, preferencias)
  • Preferencias alimentarias y alergias (si el cliente las comunica voluntariamente)
  • Historial de conversaciones
  • Datos de feedback y valoraciones

Nota sobre datos de salud:Las preferencias alimentarias y alergias constituyen datos de categoría especial (Art. 9 RGPD). El Encargado solo los almacenará cuando el interesado los proporcione voluntariamente durante la conversación y tras solicitar confirmación explícita dentro del chat.

4. Obligaciones del Encargado del Tratamiento

De conformidad con el artículo 28.3 del RGPD, el Encargado se obliga a:

  1. Instrucciones documentadas:Tratar los datos personales únicamente conforme a las instrucciones documentadas del Responsable, incluyendo las transferencias de datos a terceros países. El Encargado informará inmediatamente al Responsable si, en su opinión, una instrucción es contraria a la normativa de protección de datos.
  2. Finalidad limitada:No utilizar los datos personales con una finalidad distinta a la prestación del servicio contratado. Los datos de un Responsable nunca serán utilizados en beneficio de otro Responsable ni para fines propios del Encargado.
  3. Confidencialidad:Garantizar que las personas autorizadas para tratar datos personales se han comprometido, de forma expresa y por escrito, a respetar la confidencialidad. Esta obligación subsiste después de la finalización de la relación contractual, sin límite de tiempo.
  4. Medidas de seguridad (Art. 32 RGPD):Adoptar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, incluyendo las detalladas en el Anexo I de este DPA.
  5. Sub-encargados:No subcontratar el tratamiento sin la autorización previa y general del Responsable. El Encargado informará de cualquier cambio en la incorporación o sustitución de sub-encargados con al menos 30 días de antelación, dando al Responsable la oportunidad de oponerse. La lista actualizada de sub-encargados está disponible en comand-ia.com/subprocesadores. Las mismas obligaciones de protección de datos del presente DPA se imponen a cada sub-encargado mediante contrato.
  6. Derechos de los interesados:Asistir al Responsable, en la medida de lo posible, para que este pueda cumplir con su obligación de atender las solicitudes de ejercicio de derechos de los interesados (acceso, rectificación, supresión, portabilidad, oposición, limitación del tratamiento). Si un interesado ejerce un derecho directamente ante el Encargado, este lo comunicará al Responsable en un plazo máximo de 2 días laborables.
  7. Notificación de violaciones de seguridad: Comunicar al Responsable, sin dilación indebida y en un plazo máximo de 48 horas, cualquier violación de la seguridad de los datos personales de la que tenga conocimiento, junto con toda la información relevante para su documentación y notificación a la autoridad de control.
  8. Asistencia al Responsable: Colaborar con el Responsable en el cumplimiento de sus obligaciones en materia de evaluaciones de impacto, consultas previas a la autoridad de control y medidas de seguridad.
  9. Auditoría:Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el artículo 28 del RGPD, así como para permitir y contribuir a la realización de auditorías e inspecciones.
  10. Devolución o destrucción de datos: Una vez finalizada la relación contractual, el Encargado, a elección del Responsable, devolverá todos los datos personales o los destruirá de forma segura, en un plazo máximo de 30 días. El Encargado podrá conservar los datos bloqueados únicamente durante el tiempo en que puedan derivarse responsabilidades de la relación contractual, tras lo cual serán destruidos de forma definitiva.
  11. Registro de actividades:Llevar un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del Responsable, conforme al artículo 30.2 del RGPD.

5. Obligaciones del Responsable del Tratamiento

El Responsable se compromete a:

  1. Proporcionar al Encargado instrucciones documentadas sobre el tratamiento de datos personales.
  2. Garantizar que dispone de la base legal adecuada para el tratamiento de los datos personales de sus clientes finales.
  3. Obtener el consentimiento previo y explícito de sus clientes finales antes de enviarles mensajes de marketing o promocionales a través de WhatsApp, conforme a las políticas de WhatsApp Business y al RGPD.
  4. Cumplir con los Términos de WhatsApp Business de Meta en lo relativo al uso de la plataforma.
  5. Informar a sus clientes finales sobre el tratamiento de sus datos personales conforme a los artículos 13 y 14 del RGPD.

6. Transferencias internacionales de datos

Para la prestación del servicio, determinados sub-encargados tratan datos personales fuera del Espacio Económico Europeo (EEE). Estas transferencias se realizan al amparo de las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (Decisión de Ejecución 2021/914), complementadas, cuando corresponda, por las medidas adicionales recomendadas por el Comité Europeo de Protección de Datos.

La lista completa de sub-encargados, incluyendo su ubicación geográfica y el mecanismo de transferencia aplicable, está disponible en comand-ia.com/subprocesadores.

Anexo I: Medidas técnicas y organizativas de seguridad

El Encargado aplica las siguientes medidas de seguridad para proteger los datos personales tratados:

Cifrado y protección de datos

  • Cifrado en tránsito: TLS 1.3 en todas las comunicaciones
  • Cifrado en reposo: AES-256 en la base de datos (Supabase)
  • Cifrado de tokens de acceso: Fernet (criptografía simétrica) para tokens de WhatsApp Business

Control de acceso y aislamiento

  • Row Level Security (RLS) en PostgreSQL: cada restaurante solo accede a sus propios datos, con aislamiento a nivel de base de datos
  • Autenticación multifactor (MFA) disponible para todos los usuarios del dashboard
  • Control de acceso basado en roles (propietario, administrador, miembro)
  • Tokens de sesión con expiración automática

Protección de la infraestructura

  • Verificación HMAC de webhooks con comparación en tiempo constante
  • Rate limiting en tres niveles: global, por tenant y por IP
  • Deduplicación de mensajes vía Redis para idempotencia
  • Copias de seguridad diarias automatizadas de la base de datos
  • Monitorización continua con Sentry (seguimiento de errores) y LangSmith (trazas del agente IA)

Protección de datos personales en el procesamiento IA

  • Los mensajes se procesan mediante la API de OpenAI exclusivamente para generar respuestas contextuales al cliente
  • OpenAI no utiliza los datos enviados a través de su API para entrenar sus modelos (política de datos de API de OpenAI)
  • El contexto de conversación se limita a los últimos 10 mensajes para minimizar la exposición de datos
  • Guardrails de seguridad para prevenir inyección de prompts y filtración de datos del sistema

7. Contacto

Para cualquier cuestión relacionada con este Acuerdo de Encargo de Tratamiento, el Responsable puede contactar con el Encargado en:

8. Legislación aplicable

El presente DPA se rige por el Reglamento (UE) 2016/679 (RGPD), la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), y la legislación española aplicable. Para la resolución de cualquier controversia, las partes se someten a los juzgados y tribunales de Alicante, España.