← Volver al índice legal

Documento legal · v1.0 — 16 mayo 2026

Acuerdo de Encargo de Tratamiento (DPA)

Anexo al TOS — Art. 28 RGPD.

Acuerdo de Encargo de Tratamiento (DPA)

Anexo I — Términos del Servicio Aura Última actualización: 2026-05-16 Versión: 1.0

Este Acuerdo de Encargo de Tratamiento (en adelante, "DPA") forma parte indivisible de los Términos del Servicio de Aura (/legal/terminos) y se firma de forma electrónica al aceptar dichos Términos. Regula el tratamiento de datos personales realizado por Tech Booster por cuenta del Cliente, conforme al Art. 28 del Reglamento (UE) 2016/679 (RGPD).

1. Partes

  • Responsable del Tratamiento: el Cliente que contrata Aura (autónomo, profesional o pyme).
  • Encargado del Tratamiento: Tech Booster LLC, legal@techbooster.io, domicilio en 1209 Mountain Road Pl NE, Albuquerque, NM 87110, USA (Business ID: 7752598, NM Filing 0002481407, registrada 17-jul-2024).

2. Objeto y duración

Tech Booster trata datos personales por cuenta del Cliente con el único objeto de prestar el servicio Aura descrito en los Términos. El DPA estará en vigor mientras dure el contrato Aura entre las partes y se prolongará durante el plazo de devolución/eliminación de datos descrito en la cláusula 7.

3. Categorías de interesados

Las personas físicas cuyos datos puede tratar el Cliente a través de Aura, principalmente:

  • Clientes finales del Cliente.
  • Contactos comerciales del Cliente.
  • Empleados o colaboradores del Cliente.
  • Cualquier otra persona física cuyos datos el Cliente decida procesar con Aura bajo su responsabilidad y base legal propia.

4. Categorías de datos personales tratados

Los datos personales tratados dependen del uso que el Cliente haga de Aura. De forma orientativa:

  • Identificación y contacto: nombre, email, teléfono, dirección.
  • Datos profesionales: cargo, empresa, sector, historial de interacciones.
  • Contenido aportado por el Cliente: documentos, emails (si conecta Gmail), archivos de Drive (si conecta Google Drive), notas, conversaciones de soporte.
  • Metadatos técnicos: fecha y hora de las interacciones, identificadores internos.

Datos prohibidos (no tratables por Aura sin contrato adicional): salud, datos genéticos o biométricos, opiniones políticas/religiosas/sindicales, vida sexual, condenas penales, datos de menores.

5. Naturaleza y finalidad del tratamiento

Procesamiento mediante Claude (Anthropic) y eventualmente otros modelos LLM, con el fin de:

  • Asistir al Cliente en tareas profesionales (análisis, redacción, clasificación, automatización).
  • Generar reportes y métricas anónimas de uso.
  • Almacenar y recuperar los datos para futuras sesiones del Cliente.

Tech Booster no realiza decisiones automatizadas con efecto jurídico sobre los interesados.

6. Obligaciones del Encargado (Tech Booster)

Tech Booster se obliga a:

  1. Tratar los datos únicamente conforme a las instrucciones documentadas del Cliente (que se entienden incorporadas a través de los Términos y este DPA).
  2. Garantizar que las personas autorizadas a tratar los datos están sujetas a deber de confidencialidad.
  3. Aplicar las medidas técnicas y organizativas descritas en la cláusula 8.
  4. No subcontratar el tratamiento a terceros distintos de los listados en /legal/sub-procesadores sin notificación previa de 15 días al Cliente, que podrá oponerse de forma fundada.
  5. Asistir al Cliente en la atención de los derechos ARSULIPO de los interesados (cláusula 9).
  6. Asistir al Cliente en el cumplimiento de los Art. 32 a 36 RGPD (seguridad, brechas, evaluaciones de impacto, consulta previa).
  7. Devolver o eliminar los datos al finalizar el servicio según la cláusula 7.
  8. Poner a disposición del Cliente la información necesaria para acreditar el cumplimiento (cláusula 10).

7. Sub-encargados autorizados

El Cliente autoriza expresamente la subcontratación de los proveedores listados en /legal/sub-procesadores. A fecha de este documento:

  • Supabase Inc. (EU Frankfurt) — base de datos.
  • Hostinger / Hetzner (EU Frankfurt) — hosting VPS.
  • Stripe Payments Europe, Ltd. (Irlanda + USA) — pagos.
  • Resend (EU/USA) — email transaccional.
  • Cloudflare, Inc. (Global edge) — DNS/CDN/TLS.
  • Google Workspace (EU/Global) — email corporativo.
  • Anthropic, PBC (USA) — solo si el Cliente activa la modalidad pasarela; por defecto Anthropic NO es sub-encargado.

Cualquier alta o cambio de sub-encargado se notificará al Cliente con 15 días de antelación. El Cliente podrá oponerse por motivos fundados y, si la oposición no puede resolverse, cancelar el contrato sin penalización.

8. Medidas técnicas y organizativas (Art. 32 RGPD)

  • Cifrado en tránsito: TLS 1.3 obligatorio en toda la red pública.
  • Cifrado en reposo: AES-256-GCM para credenciales sensibles (API keys, tokens).
  • Control de acceso por rol: cliente / superadmin, con sesión cifrada (iron-session).
  • Autenticación fuerte: magic link por email + sesión firmada.
  • Audit log de eventos críticos (login, cambio de configuración, install, revocación de API key).
  • Backup cifrado diario con retención de 30 días.
  • Pseudonimización de identificadores en métricas opt-in.
  • Mínimo privilegio en accesos administrativos (solo personal autorizado y registrado).
  • Hardening de servidores (firewall, fail2ban, actualizaciones de seguridad).
  • Plan de continuidad documentado.

9. Asistencia al Responsable

Tech Booster asistirá al Cliente, en la medida de lo posible y con medios razonables, a:

  • Atender solicitudes de derechos ARSULIPO de los interesados (acceso, rectificación, supresión, limitación, portabilidad, oposición) en ≤ 7 días laborables.
  • Realizar Evaluaciones de Impacto (EIPD / DPIA) si el tratamiento del Cliente las requiere.
  • Notificar y gestionar brechas de seguridad: Tech Booster comunicará cualquier brecha al Cliente sin dilación indebida y, en todo caso, en ≤ 72 horas desde su detección, conforme al Art. 33 RGPD, aportando toda la información disponible.

10. Auditorías

El Cliente, o un tercero auditor independiente designado por él y obligado a confidencialidad, podrá auditar el cumplimiento por parte de Tech Booster de las obligaciones del presente DPA. Condiciones:

  • Aviso por escrito con 30 días de antelación.
  • Máximo una (1) auditoría al año, salvo que existan indicios fundados de incumplimiento o brecha.
  • Coste a cargo del Cliente, salvo que la auditoría revele incumplimiento material por parte de Tech Booster.
  • El alcance respetará la información confidencial de Tech Booster y de otros clientes.

Alternativamente, Tech Booster puede satisfacer este derecho aportando informes de auditoría de terceros o certificaciones equivalentes.

11. Transferencias internacionales

Las transferencias a sub-encargados fuera del EEE (Anthropic USA, Stripe USA, Resend USA) se amparan en las Cláusulas Contractuales Tipo (SCC) de la Comisión Europea (Decisión 2021/914), complementadas con medidas suplementarias (cifrado, control de acceso). Análisis de impacto de transferencia (TIA) disponible bajo petición.

12. Devolución y eliminación al finalizar

Al finalizar el contrato Aura, a elección del Cliente y comunicado por email a legal@techbooster.io:

  • Devolución: Tech Booster exporta los datos del Cliente en formato JSON estructurado en ≤ 15 días laborables.
  • Eliminación: 30 días naturales de periodo de gracia desde la cancelación efectiva (para permitir cambios de opinión y exportes). Transcurrido el plazo, los datos se eliminan o anonimizan irreversiblemente de los sistemas activos.
  • Los datos sujetos a obligación legal de conservación (facturas, registros contables — 6 años) se conservan en archivo aislado de solo lectura.
  • Las copias de seguridad se purgan en el siguiente ciclo de rotación (≤ 30 días).

13. Responsabilidad

La responsabilidad de Tech Booster respecto a los tratamientos cubiertos por este DPA se rige por los límites de la cláusula 12 de los Términos del Servicio, sin perjuicio de los daños no excluibles por ley imperativa.

14. Ley aplicable

La legislación aplicable es la española (mientras Tech Booster opere desde la EU). Para controversias, jurisdicción competente: tribunales de Murcia, o alternativamente arbitraje AEADE.

15. Firma

Este DPA se entiende aceptado y firmado electrónicamente en el momento en que el Cliente acepta los Términos del Servicio al contratar Aura. Tech Booster pone a disposición del Cliente una copia firmada en PDF bajo petición.

¿Dudas? Escríbenos a legal@techbooster.io.