Anexo de Protección de Datos
Este Anexo de Protección de Datos («APD») regula el tratamiento de datos personales que Denis Corral Villarraso, bajo la marca Sell Your AI, realiza en nombre de sus clientes y participantes del programa AXIS, conforme al artículo 28 del RGPD.
1. Partes e identificación
Este Anexo es de aplicación entre:
- El Responsable del tratamiento: el cliente o participante del programa AXIS que haya contratado los servicios de Sell Your AI (en adelante, el «Responsable»).
- El Encargado del tratamiento: Denis Corral Villarraso, actuando bajo la marca comercial Sell Your AI, con domicilio en Madrid, España, y correo de contacto contacto@deniscorral.com (en adelante, el «Encargado»).
Este APD forma parte integrante del contrato de servicios suscrito entre las partes y prevalecerá sobre cualquier otra disposición del mismo en materia de protección de datos.
2. Objeto y ámbito de aplicación
Este APD regula las condiciones bajo las cuales el Encargado trata datos personales del Responsable o de terceros (empleados, clientes, colaboradores del Responsable) en el contexto de la prestación de servicios de consultoría, formación y automatización con inteligencia artificial.
El tratamiento se realizará exclusivamente:
- Para las finalidades descritas en el contrato de servicios o en las instrucciones documentadas del Responsable.
- Durante el período de vigencia del contrato.
- En el territorio de la Unión Europea, salvo instrucción expresa del Responsable o cuando sea necesario para la prestación del servicio con garantías adecuadas.
3. Naturaleza y finalidad del tratamiento
| Aspecto | Detalle |
|---|---|
| Naturaleza | Consulta, análisis, organización, almacenamiento temporal y comunicación de datos dentro del contexto del servicio prestado |
| Finalidad | Prestar los servicios de consultoría, automatización de procesos con IA y formación empresarial contratados por el Responsable |
| Tipos de datos | Datos identificativos y de contacto de empleados y clientes del Responsable que sean necesarios para la automatización de procesos o el desarrollo del servicio |
| Categorías de interesados | Empleados, clientes o colaboradores del Responsable, según el alcance de los servicios contratados |
| Duración | La vigencia del contrato de servicios + 30 días para la devolución o destrucción segura de los datos |
4. Obligaciones del Encargado
El Encargado se compromete a:
- Actuar únicamente según instrucciones documentadas del Responsable. Si considera que una instrucción infringe el RGPD u otra normativa, lo comunicará inmediatamente al Responsable.
- Garantizar la confidencialidad de los datos personales accesibles. Las personas autorizadas a tratar los datos habrán suscrito un compromiso de confidencialidad.
- Aplicar las medidas de seguridad técnicas y organizativas adecuadas conforme al Art. 32 del RGPD, teniendo en cuenta el estado de la técnica, los costes y los riesgos del tratamiento.
- No contratar subencargados sin autorización previa, escrita y específica del Responsable. En caso de subcontratación autorizada, el Encargado impondrá al subencargado las mismas obligaciones que él mismo tiene.
- Asistir al Responsable en el ejercicio de los derechos de acceso, rectificación, supresión, portabilidad, limitación y oposición de los interesados, en la medida de lo posible.
- Asistir al Responsable en el cumplimiento de sus obligaciones en materia de seguridad, notificación de brechas, evaluaciones de impacto y consultas previas.
- Suprimir o devolver todos los datos personales al Responsable, según su elección, una vez concluida la prestación del servicio, y destruir las copias existentes, salvo que una obligación legal exija la conservación.
- Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el Art. 28 del RGPD y permitir la realización de auditorías.
5. Subencargados autorizados
El Responsable autoriza al Encargado a utilizar los siguientes subencargados para la prestación del servicio, sujetos a las mismas obligaciones de protección de datos:
| Subencargado | Servicio | Garantías |
|---|---|---|
| Make.com (Celonis SE) | Automatización de flujos de trabajo | DPA / Servidores UE |
| N8N GmbH | Automatización interna | DPA / Self-hosted UE |
| Anthropic, PBC | Modelos de IA (sin datos identificativos) | Zero-retention API / SCCs |
| OpenAI, LLC | Modelos de IA (sin datos identificativos) | Zero-retention API / SCCs |
| Google Workspace | Comunicaciones y documentación | SCCs / Addendum RGPD |
El Encargado notificará al Responsable con al menos 30 días de antelación cualquier cambio en los subencargados, otorgando al Responsable la posibilidad de oponerse a dicho cambio.
6. Notificación de brechas de seguridad
El Encargado notificará al Responsable, sin dilación indebida y en un plazo máximo de 48 horas desde que tenga conocimiento de ella, cualquier brecha de seguridad de los datos personales. La notificación incluirá, como mínimo:
- Descripción de la naturaleza de la brecha, categorías y número aproximado de interesados afectados.
- Datos de contacto del responsable interno donde obtener más información.
- Descripción de las posibles consecuencias de la brecha.
- Medidas adoptadas o propuestas para remediar la brecha y atenuar sus posibles efectos negativos.
7. Devolución y destrucción de datos
A la finalización del contrato, el Encargado:
- Devolverá al Responsable, en formato legible y estándar, todos los datos personales tratados por cuenta del Responsable, si este así lo solicita.
- Destruirá de forma segura, en un plazo máximo de 30 días desde la finalización del contrato, todos los datos personales y copias existentes en sus sistemas, salvo que una obligación legal exija su conservación durante un plazo mayor.
- Emitirá, previa solicitud del Responsable, una certificación escrita de la destrucción realizada.
8. Auditorías y demostración de cumplimiento
El Encargado pondrá a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones y permitirá la realización de auditorías o inspecciones por parte del Responsable o de un auditor designado por él, con un preaviso mínimo de 15 días hábiles. Los costes de dichas auditorías correrán por cuenta del Responsable.
9. Ley aplicable
Este APD se rige por el Reglamento (UE) 2016/679 (RGPD), la Ley Orgánica 3/2018 (LOPDGDD) y la legislación española aplicable. Para cualquier controversia que no pueda resolverse amigablemente, las partes se someten a la jurisdicción de los Tribunales de Madrid.
10. Contacto
Para cualquier cuestión relacionada con este Anexo, contacta con el Encargado en contacto@deniscorral.com con el asunto «APD – Consulta».