Acuerdo de Encargo del Tratamiento

1. Partes

De una parte, el Cliente identificado en su cuenta dentro de la plataforma Lex Partis, en su condición de Responsable del Tratamiento (en adelante, el «Responsable»).

De otra parte, Dextra Transaction Services S.L., con CIF B44741924, domicilio social en Av. Diagonal 468, 08006 Barcelona, España, Inscrita en el Registro Mercantil de Barcelona, CIF B44741924., en su condición de Encargado del Tratamiento (en adelante, el «Encargado» o «Lex Partis»).

2. Objeto del encargo

El presente DPA tiene por objeto regular las condiciones bajo las cuales el Encargado tratará datos personales por cuenta del Responsable en ejecución del contrato principal de prestación de servicios SaaS suscrito entre las partes (los «Términos»). El Encargado actuará exclusivamente conforme a las instrucciones documentadas del Responsable y a lo previsto en el presente DPA, sin destinar los datos a finalidad distinta, ni cederlos, ni siquiera para su conservación, a otras personas.

3. Duración

Este DPA entrará en vigor en la fecha de aceptación por el Cliente y permanecerá vigente durante todo el tiempo en que el Encargado preste el Servicio al Responsable. A su finalización, subsistirán las obligaciones del Encargado relativas a la devolución, supresión y, en su caso, conservación legal obligatoria de los datos personales en los términos previstos en la cláusula correspondiente.

4. Naturaleza, finalidad, datos e interesados

Naturaleza del tratamiento: alojamiento, conservación, procesamiento, consulta, modificación, exportación y supresión de datos personales en los términos necesarios para la prestación de la plataforma Lex Partis.

Finalidad del tratamiento: posibilitar al Responsable la gestión de expedientes sucesorios, judiciales y notariales, la coordinación con sus clientes, la generación de documentación, la firma electrónica de actos, la trazabilidad probatoria y, en general, las funcionalidades del Servicio descritas en www.lexpartis.com.

Categorías de datos personales tratados

• Datos identificativos y de contacto del Responsable, sus usuarios, sus clientes (causantes y herederos) y demás intervinientes (representantes, contrapartes, profesionales).
• Datos profesionales (colegiación, número de protocolo, ejercientes).
• Datos económicos y patrimoniales relacionados con la masa hereditaria.
• Datos contenidos en documentos aportados (testamentos, certificados de últimas voluntades, escrituras, facturas, comunicaciones).
• Cuando el Responsable los introduzca, datos referidos a categorías especiales del artículo 9 RGPD (por ejemplo, datos de salud relevantes para incapacitaciones o sustituciones) o datos relativos a condenas e infracciones penales (artículo 10 RGPD).
• Datos de uso de la plataforma (registros de actividad, direcciones IP, cabeceras técnicas) tratados con fines de seguridad y trazabilidad.

Categorías de interesados

• Usuarios del Responsable (socios, abogados, paralegales, personal administrativo).
• Clientes y contrapartes del Responsable (causantes, herederos, legitimarios, legatarios, acreedores, deudores, peritos).
• Terceros mencionados en la documentación tratada en el Servicio.

5. Obligaciones del Responsable

El Responsable, como Responsable del Tratamiento, garantiza al Encargado que:

• Dispone de la base jurídica adecuada para cada tratamiento llevado a cabo a través de la plataforma.
• Ha informado a los interesados conforme a los artículos 13 y 14 RGPD y, en su caso, ha obtenido su consentimiento informado, libre y específico.
• Cumple con sus obligaciones como Responsable, en particular las relativas a la atención de los derechos de los interesados, a las obligaciones de información y a la realización de evaluaciones de impacto cuando resulten exigibles.
• Sólo introducirá en la plataforma datos personales que sean adecuados, pertinentes y limitados a lo necesario en relación con las finalidades del tratamiento (principio de minimización).

6. Obligaciones del Encargado

El Encargado se obliga a:

• Tratar los datos personales únicamente conforme a las instrucciones documentadas del Responsable, incluso cuando se trate de transferencias internacionales, salvo que esté obligado a ello en virtud del Derecho de la Unión o del Estado miembro aplicable, en cuyo caso informará al Responsable de la obligación legal salvo prohibición legal.
• Garantizar que las personas autorizadas para tratar los datos personales se han comprometido a respetar la confidencialidad o están sujetas a una obligación legal de confidencialidad.
• Adoptar las medidas técnicas y organizativas apropiadas previstas en el artículo 32 RGPD.
• Asistir al Responsable, en la medida de lo posible y mediante medidas técnicas y organizativas apropiadas, para que pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados.
• Asistir al Responsable en el cumplimiento de las obligaciones previstas en los artículos 32 a 36 RGPD (seguridad, notificación de violaciones, evaluaciones de impacto y consultas previas).
• Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones del artículo 28 RGPD, así como permitir y contribuir a la realización de auditorías, en los términos previstos en la cláusula correspondiente.
• Informar inmediatamente al Responsable si, en su opinión, alguna instrucción infringe la normativa de protección de datos.

7. Confidencialidad

El Encargado mantendrá el deber de secreto respecto de los datos personales objeto del tratamiento, incluso después de finalizar la prestación del Servicio. Garantizará que el personal autorizado para tratar dichos datos esté sujeto a una obligación documentada de confidencialidad, equivalente al deber de secreto profesional cuando proceda, y haya recibido la formación necesaria en materia de protección de datos.

8. Medidas técnicas y organizativas

El Encargado implanta y mantiene medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, en los términos del artículo 32 RGPD, atendiendo al estado de la técnica, los costes de aplicación, la naturaleza, alcance, contexto y fines del tratamiento, así como los riesgos para los derechos y libertades de las personas físicas. En particular:

• Cifrado en tránsito mediante TLS 1.3 y cifrado en reposo (AES-256) sobre los datos almacenados.
• Control de acceso basado en roles (RBAC), principio de mínimo privilegio y autenticación multifactor disponible para los usuarios.
• Segregación lógica multi-tenant: los datos de cada Responsable se aíslan mediante identificadores de organización en cada operación de lectura y escritura.
• Trazabilidad criptográfica con sellado de tiempo (TSA) sobre las operaciones críticas (creación, modificación, firma).
• Copias de seguridad periódicas con recuperación verificada, almacenadas en infraestructura ubicada dentro del EEE.
• Pruebas de seguridad automatizadas en cada despliegue, monitorización continua y procedimientos formales de gestión de incidentes y vulnerabilidades.
• Formación periódica del personal en materia de protección de datos y seguridad de la información.

El detalle pormenorizado de las medidas técnicas y organizativas vigentes puede consultarse, previa solicitud razonada, dirigiéndose a dpo@lexpartis.com.

9. Notificación de violaciones de seguridad

El Encargado notificará al Responsable, sin dilación indebida y en cualquier caso dentro de las setenta y dos (72) horas siguientes a tener conocimiento, cualquier violación de la seguridad de los datos personales que afecte a datos tratados por cuenta del Responsable, conforme al artículo 33.2 RGPD.

La notificación incluirá, en la medida en que la información esté disponible, la naturaleza de la violación, las categorías y el número aproximado de interesados afectados, las posibles consecuencias, las medidas adoptadas o propuestas para resolver la violación y, en su caso, las medidas para mitigar los posibles efectos negativos. Si la información no puede facilitarse de forma simultánea, el Encargado la proporcionará de manera escalonada sin dilación indebida.

10. Subencargados

El Responsable autoriza al Encargado, con carácter general y previa comunicación, a recurrir a los subencargados (subprocesadores) identificados en www.lexpartis.com/legal/subprocesadores. La relación se mantendrá actualizada en dicha página, que constituye parte integrante del presente DPA a los efectos del artículo 28.2 RGPD.

El Encargado celebrará con cada subencargado un contrato escrito que imponga obligaciones de protección de datos equivalentes a las contenidas en el presente DPA. El Encargado seguirá siendo plenamente responsable, ante el Responsable, del cumplimiento por el subencargado de sus obligaciones.

Cuando el Encargado pretenda incorporar nuevos subencargados o sustituir a los existentes con efecto sustancial, lo notificará al Responsable con una antelación mínima de quince (15) días naturales, mediante actualización de la página de subprocesadores y, cuando proceda, comunicación específica. El Responsable podrá oponerse motivadamente por razones objetivas y justificadas relativas a la protección de datos, dirigiendo su oposición a dpo@lexpartis.com. Si las partes no alcanzan una solución satisfactoria, el Responsable podrá resolver el contrato sin penalización.

11. Transferencias internacionales

Cuando, para la prestación del Servicio, sea necesario realizar transferencias internacionales de datos personales fuera del Espacio Económico Europeo, éstas se llevarán a cabo exclusivamente al amparo de los mecanismos previstos en el Capítulo V del RGPD: (i) decisión de adecuación de la Comisión Europea; (ii) Cláusulas Contractuales Tipo aprobadas mediante Decisión de Ejecución (UE) 2021/914; (iii) normas corporativas vinculantes; o (iv) cualquier otro instrumento legalmente admisible, con las medidas técnicas y organizativas adicionales que resulten necesarias en cada caso.

La identidad de los subencargados que intervienen en transferencias internacionales y las garantías concretas aplicables se publican en www.lexpartis.com/legal/subprocesadores. El Responsable podrá obtener copia de las garantías adoptadas dirigiéndose a dpo@lexpartis.com.

12. Derechos de los interesados

El Encargado asistirá al Responsable, mediante medidas técnicas y organizativas apropiadas, para que éste pueda atender en plazo las solicitudes de ejercicio de derechos formuladas por los interesados (acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición; y, en su caso, derecho a no ser objeto de decisiones individuales automatizadas).

Si el Encargado recibe directamente de un interesado una solicitud de ejercicio de derechos relativa a datos tratados por cuenta del Responsable, la trasladará a éste sin dilación indebida y, salvo instrucción expresa, no dará respuesta directa al interesado.

13. Devolución o supresión a la finalización

A la finalización del contrato, el Encargado, a elección del Responsable, le devolverá o suprimirá todos los datos personales tratados por cuenta del Responsable, así como cualesquiera copias existentes, salvo que la conservación de los datos sea exigida por el Derecho de la Unión o del Estado miembro aplicable. A tal efecto, el Encargado pondrá a disposición del Responsable, durante un plazo máximo de treinta (30) días naturales desde la finalización, las funcionalidades de exportación previstas en la plataforma.

Transcurrido dicho plazo sin que el Responsable haya solicitado la devolución, el Encargado procederá al borrado seguro o, en su caso, a la anonimización irreversible de los datos personales, dejando constancia documental del cumplimiento de esta obligación a disposición del Responsable cuando éste lo requiera.

14. Auditorías

El Encargado pondrá a disposición del Responsable, previa solicitud razonable y con la periodicidad máxima de una (1) vez al año (salvo cuando concurran indicios fundados de incumplimiento o lo exija una autoridad de control), la información necesaria para acreditar el cumplimiento del presente DPA, incluyendo, en su caso, certificaciones, informes de auditoría externa o reportes de aseguramiento (SOC 2, ISO 27001, esquemas de certificación europeos).

Cuando dicha información resulte insuficiente y exista justificación razonable, el Responsable podrá realizar, directamente o a través de un auditor independiente vinculado por deber de confidencialidad, una auditoría sobre las medidas técnicas y organizativas implantadas. La auditoría se desarrollará en horario laboral, sin afectar significativamente a la operativa del Encargado, y los costes serán asumidos por el Responsable salvo que la auditoría revele incumplimientos sustanciales del Encargado.

15. Responsabilidad

Cada parte responderá frente a la otra y frente a los interesados por los daños y perjuicios causados como consecuencia del incumplimiento de sus respectivas obligaciones, en los términos previstos en el artículo 82 RGPD y en la legislación aplicable. La responsabilidad económica del Encargado frente al Responsable derivada del presente DPA queda sujeta a los límites previstos en los Términos, en lo que resulten compatibles con la normativa imperativa.

16. Legislación aplicable y jurisdicción

El presente DPA se rige por el Derecho español y, en particular, por el RGPD y la LOPDGDD. Para la resolución de cualquier controversia, las partes se someten a los Tribunales competentes de Barcelona, España, con renuncia expresa a cualquier otro fuero, sin perjuicio de la sumisión imperativa que resulte aplicable cuando el Responsable ostente la condición de consumidor.