Acuerdo de Encargo do Tratamento

1. Partes

Dunha parte, o Cliente identificado na súa conta dentro da plataforma Lex Partis, na súa condición de Responsable do Tratamento (en diante, o «Responsable»).

Doutra parte, Dextra Transaction Services S.L., con CIF B44741924, domicilio social en Av. Diagonal 468, 08006 Barcelona, España, Inscrita en el Registro Mercantil de Barcelona, CIF B44741924., na súa condición de Encargado do Tratamento (en diante, o «Encargado» ou «Lex Partis»).

2. Obxecto do encargo

O presente DPA ten por obxecto regular as condicións baixo as cales o Encargado tratará datos persoais por conta do Responsable na execución do contrato principal de prestación de servizos SaaS subscrito entre as partes (os «Termos»). O Encargado actuará exclusivamente conforme ás instrucións documentadas do Responsable e ao previsto no presente DPA, sen destinar os datos a finalidade distinta, nin cedelos, nin sequera para a súa conservación, a outras persoas.

3. Duración

Este DPA entrará en vigor na data de aceptación polo Cliente e permanecerá vixente durante todo o tempo en que o Encargado preste o Servizo ao Responsable. A súa finalización, subsistirán as obrigas do Encargado relativas á devolución, supresión e, no seu caso, conservación legal obrigatoria dos datos persoais nos termos previstos na cláusula correspondente.

4. Natureza, finalidade, datos e interesados

Natureza do tratamento: aloxamento, conservación, procesamento, consulta, modificación, exportación e supresión de datos persoais nos termos necesarios para a prestación da plataforma Lex Partis.

Finalidade do tratamento: posibilitar ao Responsable a xestión de expedientes sucesorios, xudiciais e notariais, a coordinación cos seus clientes, a xeración de documentación, a sinatura electrónica de actos, a trazabilidade probatoria e, en xeral, as funcionalidades do Servizo descritas en www.lexpartis.com.

Categorías de datos persoais tratados

• Datos identificativos e de contacto do Responsable, os seus usuarios, os seus clientes (causantes e herdeiros) e demais intervinientes (representantes, contrapartes, profesionais).
• Datos profesionais (colegiación, número de protocolo, exercentes).
• Datos económicos e patrimoniais relacionados coa masa herdada.
• Datos contidos en documentos achegados (testamentos, certificados de últimas voluntades, escrituras, facturas, comunicacións).
• Cando o Responsable os introduza, datos referidos a categorías especiais do artigo 9 RGPD (por exemplo, datos de saúde relevantes para incapacitacións ou substitucións) ou datos relativos a condenas e infraccións penais (artigo 10 RGPD).
• Datos de uso da plataforma (registros de actividade, direccións IP, cabeceiras técnicas) tratados con fins de seguridade e trazabilidade.

Categorías de interesados

• Usuarios do Responsable (socios, avogados, paralegais, persoal administrativo).
• Clientes e contrapartes do Responsable (causantes, herdeiros, legitimarios, legatarios, acredores, devedores, peritos).
• Terceiros mencionados na documentación tratada no Servizo.

5. Obrigas do Responsable

O Responsable, como Responsable do Tratamento, garante ao Encargado que:

• Dispón da base xurídica adecuada para cada tratamento realizado a través da plataforma.
• Informou aos interesados conforme aos artigos 13 e 14 RGPD e, no seu caso, obtivo o seu consentimento informado, libre e específico.
• Cumple coas súas obrigas como Responsable, en particular as relativas á atención dos dereitos dos interesados, ás obrigas de información e á realización de avaliacións de impacto cando resulten esixibles.
• Só introducirá na plataforma datos persoais que sexan adecuados, pertinentes e limitados ao necesario en relación coas finalidades do tratamento (principio de minimización).

6. Obrigas do Encargado

O Encargado obrígase a:

• Tratar os datos persoais unicamente conforme ás instrucións documentadas do Responsable, incluso cando se trate de transferencias internacionais, salvo que estea obrigado a iso en virtude do Dereito da Unión ou do Estado membro aplicable, no cal caso informará ao Responsable da obrigación legal salvo prohibición legal.
• Garantir que as persoas autorizadas para tratar os datos persoais se comprometeron a respectar a confidencialidade ou están suxeitas a unha obrigación legal de confidencialidade.
• Adoptar as medidas técnicas e organizativas apropiadas previstas no artigo 32 RGPD.
• Asistir ao Responsable, na medida do posible e mediante medidas técnicas e organizativas apropiadas, para que poida cumprir coa súa obrigación de responder ás solicitudes que teñan por obxecto o exercicio dos dereitos dos interesados.
• Asistir ao Responsable no cumprimento das obrigas previstas nos artigos 32 a 36 RGPD (seguridade, notificación de violacións, avaliacións de impacto e consultas previas).
• Pór á disposición do Responsable toda a información necesaria para demostrar o cumprimento das obrigas do artigo 28 RGPD, así como permitir e contribuír á realización de auditorías, nos termos previstos na cláusula correspondente.
• Informar inmediatamente ao Responsable se, na súa opinión, algunha instrución infrinxe a normativa de protección de datos.

7. Confidencialidade

O Encargado manterá o deber de segredo respecto dos datos persoais obxecto do tratamento, incluso despois de finalizar a prestación do Servizo. Garantirá que o persoal autorizado para tratar ditos datos estea suxeito a unha obrigación documentada de confidencialidade, equivalente ao deber de segredo profesional cando proceda, e que recibise a formación necesaria en materia de protección de datos.

8. Medidas técnicas e organizativas

O Encargado implanta e mantén medidas técnicas e organizativas apropiadas para garantir un nivel de seguridade adecuado ao risco, nos termos do artigo 32 RGPD, atendendo ao estado da técnica, os custos de aplicación, a natureza, alcance, contexto e fins do tratamento, así como os riscos para os dereitos e liberdades das persoas físicas. En particular:

• Cifrado en tránsito mediante TLS 1.3 e cifrado en reposo (AES-256) sobre os datos almacenados.
• Control de acceso baseado en roles (RBAC), principio de mínimo privilexio e autenticación multifactor dispoñible para os usuarios.
• Segregación lóxica multi-tenant: os datos de cada Responsable aillanse mediante identificadores de organización en cada operación de lectura e escritura.
• Trazabilidade criptográfica con selado de tempo (TSA) sobre as operacións críticas (creación, modificación, firma).
• Copias de seguridade periódicas con recuperación verificada, almacenadas en infraestrutura situada dentro do EEE.
• Probas de seguridade automatizadas en cada despregue, monitorización continua e procedementos formais de xestión de incidentes e vulnerabilidades.
• Formación periódica do persoal en materia de protección de datos e seguridade da información.

O detalle pormenorizado das medidas técnicas e organizativas vixentes pode consultarse, previa solicitude razoada, dirixíndose a dpo@lexpartis.com.

9. Notificación de violacións de seguridade

O Encargado notificará ao Responsable, sen dilación indebida e en calquera caso dentro das setenta e dúas (72) horas seguintes a ter coñecemento, calquera violación da seguridade dos datos persoais que afecte a datos tratados por conta do Responsable, conforme ao artigo 33.2 RGPD.

A notificación incluirá, na medida en que a información estea dispoñible, a natureza da violación, as categorías e o número aproximado de interesados afectados, as posibles consecuencias, as medidas adoptadas ou propostas para resolver a violación e, no seu caso, as medidas para mitigar os posibles efectos negativos. Se a información non pode facilitarse de forma simultánea, o Encargado proporcionaralle de maneira escalonada sen dilación indebida.

10. Subencargados

O Responsable autoriza ao Encargado, con carácter xeral e previa comunicación, a recorrer aos subencargados (subprocesadores) identificados en www.lexpartis.com/legal/subprocesadores. A relación mantérase actualizada nesta páxina, que constitúe parte integrante do presente DPA aos efectos do artigo 28.2 RGPD.

O Encargado celebrará con cada subencargado un contrato escrito que impón obrigas de protección de datos equivalentes ás contidas no presente DPA. O Encargado seguirá sendo plenamente responsable, ante o Responsable, do cumprimento polo subencargado das súas obrigas.

Cando o Encargado pretenda incorporar novos subencargados ou substituír aos existentes con efecto substancial, notifícalo ao Responsable con unha antelación mínima de quince (15) días naturais, mediante actualización da páxina de subprocesadores e, cando proceda, comunicación específica. O Responsable poderá opoñerse motivadamente por razóns obxectivas e xustificadas relativas á protección de datos, dirixindo a súa oposición a dpo@lexpartis.com. Se as partes non alcanzan unha solución satisfactoria, o Responsable poderá resolver o contrato sen penalización.

11. Transferencias internacionais

Cando, para a prestación do Servizo, sexa necesario realizar transferencias internacionais de datos persoais fóra do Espazo Económico Europeo, estas levaranse a cabo exclusivamente ao amparo dos mecanismos previstos no Capítulo V do RGPD: (i) decisión de adecuación da Comisión Europea; (ii) Cláusulas Contractuais Tipo aprobadas mediante Decisión de Execución (UE) 2021/914; (iii) normas corporativas vinculantes; ou (iv) calquera outro instrumento legalmente admisible, coas medidas técnicas e organizativas adicionais que resulten necesarias en cada caso.

A identidade dos subencargados que interveñen en transferencias internacionais e as garantías concretas aplicables publícanse en www.lexpartis.com/legal/subprocesadores. O Responsable poderá obter copia das garantías adoptadas dirixíndose a dpo@lexpartis.com.

12. Dereitos dos interesados

O Encargado asistirá ao Responsable, mediante medidas técnicas e organizativas apropiadas, para que este poida atender en prazo as solicitudes de exercicio de dereitos formuladas polos interesados (acceso, rectificación, supresión, limitación do tratamento, portabilidade e oposición; e, no seu caso, dereito a non ser obxecto de decisións individuais automatizadas).

Se o Encargado recibe directamente dun interesado unha solicitude de exercicio de dereitos relativa a datos tratados por conta do Responsable, a trasladará a este sen dilación indebida e, salvo instrución expresa, non dará resposta directa ao interesado.

13. Devolución ou supresión á finalización

Á finalización do contrato, o Encargado, a elección do Responsable, devolveralle ou suprimirá todos os datos persoais tratados por conta do Responsable, así como calquera copia existente, salvo que a conservación dos datos sexa esixida polo Dereito da Unión ou do Estado membro aplicable. A tal efecto, o Encargado poñerá á disposición do Responsable, durante un prazo máximo de trinta (30) días naturais desde a finalización, as funcionalidades de exportación previstas na plataforma.

Transcorrido dito prazo sen que o Responsable solicitase a devolución, o Encargado procederá ao borrado seguro ou, no seu caso, á anonimización irreversible dos datos persoais, deixando constancia documental do cumprimento desta obriga á disposición do Responsable cando este o requira.

14. Auditorías

O Encargado poñerá á disposición do Responsable, previa solicitude razoable e coa periodicidade máxima de unha (1) vez ao ano (salvo cando concorran indicios fundados de incumprimento ou o esixa unha autoridade de control), a información necesaria para acreditar o cumprimento do presente DPA, incluíndo, no seu caso, certificacións, informes de auditoría externa ou reportes de aseguramento (SOC 2, ISO 27001, esquemas de certificación europeos).

Cando dita información resulte insuficiente e exista xustificación razoable, o Responsable poderá realizar, directamente ou a través dun auditor independente vinculado por deber de confidencialidade, unha auditoría sobre as medidas técnicas e organizativas implantadas. A auditoría desenvolverase en horario laboral, sen afectar significativamente á operativa do Encargado, e os custos serán asumidos polo Responsable salvo que a auditoría revele incumprimentos substanciais do Encargado.

15. Responsabilidade

Cada parte responderá fronte á outra e fronte aos interesados polos danos e prexuízos causados como consecuencia do incumprimento das súas respectivas obrigas, nos termos previstos no artigo 82 RGPD e na lexislación aplicable. A responsabilidade económica do Encargado fronte ao Responsable derivada do presente DPA queda suxeita aos límites previstos nos Termos, naquilo que resulten compatibles coa normativa imperativa.

16. Legislación aplicable e xurisdición

O presente DPA réxese polo Derecho español e, en particular, polo RGPD e a LOPDGDD. Para a resolución de calquera controversia, as partes sométense aos Tribunales competentes de Barcelona, España, con renuncia expresa a calquera outro foro, sen prexuízo da sumisión imperativa que resulte aplicable cando o Responsable ostente a condición de consumidor.