Contrato de Encargo de Tratamiento de Datos de Copilot Audit

Última actualización: 8 de diciembre de 2025

El presente Contrato de Encargo de Tratamiento de Datos («DPA») complementa y forma parte integrante de los Términos y Condiciones o de cualquier otro acuerdo principal aplicable (el «Acuerdo Principal») celebrado entre NEXT BP («Nosotros», «nos», «nuestro» o el «Encargado del Tratamiento») y usted («Usted», el «Cliente») en relación con el uso del software Copilot Audit (el «Software»). Este DPA regula el tratamiento de Datos Personales por parte del Encargado del Tratamiento en nombre del Cliente en el marco de la prestación del Software.

---

1. Definiciones

A los efectos de este DPA, los términos siguientes tendrán el significado que se indica a continuación:

• «Datos Personales»: cualquier información sobre una persona física identificada o identificable (la «Persona Interesada»).
• «Responsable del Tratamiento»: la persona física o jurídica que, sola o conjuntamente con otros, determina los fines y medios del tratamiento de Datos Personales. A efectos de este DPA, el Cliente es el Responsable del Tratamiento.
• «Encargado del Tratamiento»: la persona física o jurídica que trata Datos Personales por cuenta del Responsable del Tratamiento. A efectos de este DPA, NEXT BP es el Encargado del Tratamiento.
• «Subencargado»: cualquier tercero subencargado contratado por el Encargado del Tratamiento (NEXT BP) para tratar Datos Personales por cuenta del Cliente.
• «Tratamiento»: cualquier operación o conjunto de operaciones realizadas sobre Datos Personales o conjuntos de Datos Personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.
• «Legislación de Protección de Datos»: el conjunto de leyes y reglamentos aplicables en materia de protección de datos y privacidad, incluyendo, entre otros, el Reglamento General de Protección de Datos (Reglamento (UE) 2016/679, el «RGPD») y cualquier legislación nacional que lo implemente o complemente.
• «Violación de Datos Personales»: toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de Datos Personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

---

2. Roles y responsabilidades

2.1 El Cliente actúa como Responsable del Tratamiento. Es el único responsable de la licitud de la recogida y del Tratamiento de los Datos Personales que confía al Encargado a través del Software, incluida la base jurídica del Tratamiento.

2.2 NEXT BP actúa como Encargado del Tratamiento. NEXT BP tratará los Datos Personales únicamente por cuenta del Cliente, basándose en las instrucciones documentadas de este (establecidas en el Acuerdo Principal y en este DPA, así como en el uso del Software por parte del Cliente) y de conformidad con la Legislación de Protección de Datos aplicable.

---

3. Objeto, naturaleza y duración del Tratamiento

3.1 Objeto del Tratamiento
El Tratamiento tiene por objeto permitir al Encargado prestar el Software y los servicios asociados al Cliente, de conformidad con el Acuerdo Principal. Esto incluye, en particular, el alojamiento de los datos, la ejecución de las funcionalidades del Software (por ejemplo, análisis y tratamiento automatizado de documentos de auditoría importados), el mantenimiento y el soporte técnico.

3.2 Naturaleza de las operaciones de Tratamiento
Las operaciones pueden incluir la recepción, conservación, organización, análisis, consulta, utilización, puesta a disposición (a través de la interfaz del Software), supresión y/o devolución de Datos Personales.

3.3 Tipos de Datos Personales
Los tipos de Datos Personales tratados los determina y controla exclusivamente el Cliente, y pueden incluir, sin carácter limitativo, la información contenida en los documentos que el Cliente importe al Software (como nombres, datos de contacto, información financiera, información profesional, etc.).

3.4 Categorías de Personas Interesadas
Las categorías de Personas Interesadas las determina el Cliente y pueden incluir, sin carácter limitativo, empleados, clientes, proveedores, entidades auditadas o cualquier otra persona física cuyos Datos Personales se encuentren en los documentos tratados a través del Software.

3.5 Duración del Tratamiento
El Encargado tratará los Datos Personales durante la vigencia del Acuerdo Principal, salvo instrucción escrita en contrario del Cliente o exigencia legal. Los procedimientos de supresión o devolución de datos al término del contrato se definen en la Sección 4.7.

---

4. Obligaciones del Encargado del Tratamiento (NEXT BP)

El Encargado se compromete a:

4.1 Tratamiento conforme a las instrucciones
Tratar los Datos Personales únicamente siguiendo las instrucciones documentadas del Cliente, incluidos los relativos a transferencias de datos a un tercer país u organización internacional, salvo que esté obligado a ello en virtud del Derecho de la Unión o de los Estados miembros que se aplique al Encargado; en tal caso, el Encargado informará al Cliente de esa exigencia legal antes del Tratamiento, salvo que dicha ley prohíba dicha información por importantes motivos de interés público. El uso del Software por parte del Cliente constituye una instrucción documentada.

4.2 Confidencialidad
Garantizar que las personas autorizadas a tratar Datos Personales (empleados, agentes, subencargados) se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación legal adecuada de confidencialidad.

4.3 Seguridad del Tratamiento
Aplicar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, de conformidad con el artículo 32 del RGPD. Estas medidas están destinadas a proteger los Datos Personales frente a la destrucción, pérdida, alteración, divulgación no autorizada o acceso no autorizado.

4.4 Recurso a Subencargados
No contratar a otro encargado (Subencargado) sin la autorización previa por escrito, específica o general, del Cliente. En caso de autorización general, el Encargado informará al Cliente de cualquier cambio previsto relativo a la incorporación o sustitución de Subencargados, dando así al Cliente la oportunidad de oponerse a dichos cambios.

Cuando el Encargado contrate a un Subencargado, le impondrá, mediante contrato u otro acto jurídico, las mismas obligaciones en materia de protección de datos que las establecidas en este DPA.

A título de ejemplo, el Encargado puede recurrir a:

• proveedores de servicios de pago (como Stripe) para la gestión de pagos de suscripción;
• proveedores de infraestructura y cálculo (como Hetzner Online GmbH para el alojamiento, o Modal.com para el cálculo GPU necesario para determinados tratamientos, incluido el OCR).

La lista actualizada de estos Subencargados podrá facilitarse al Cliente previa solicitud.

4.5 Asistencia al Cliente
Ayudar al Cliente, mediante medidas técnicas y organizativas apropiadas y en la medida de lo posible, a cumplir su obligación de responder a las solicitudes de las Personas Interesadas para el ejercicio de sus derechos (acceso, rectificación, supresión, limitación, portabilidad, oposición).

4.6 Notificación de Violaciones de Datos Personales
Notificar al Cliente cualquier Violación de Datos Personales sin dilación indebida tras tener conocimiento de la misma, y proporcionar al Cliente la información necesaria para que pueda cumplir sus obligaciones de notificación a las autoridades de control y/o a las Personas Interesadas.

4.7 Destino de los Datos al término del contrato
A elección del Cliente, suprimir todos los Datos Personales o devolverlos al Cliente al término de la prestación de los servicios de Tratamiento, y suprimir las copias existentes, salvo que el Derecho de la Unión o de los Estados miembros exija la conservación de los Datos Personales.

4.8 Auditoría e información
Poner a disposición del Cliente toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en este DPA y permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del Cliente o de otro auditor designado por el Cliente.

4.9 Datos de uso
En la medida en que el Software registre métricas de uso (como el número de documentos tratados, el volumen de datos u otros indicadores técnicos) para fines de facturación, mejora del servicio, seguridad o supervisión del rendimiento, dichas métricas pueden estar indirectamente vinculadas a Datos Personales si los elementos contabilizados (por ejemplo, documentos) contienen tales datos.

El Encargado se compromete a tratar estos datos de uso agregados o técnicos de conformidad con este DPA y con la Legislación de Protección de Datos, limitando su utilización a las finalidades mencionadas.

---

5. Transferencias de Datos Personales fuera del EEE

Cualquier transferencia de Datos Personales por parte del Encargado a un país situado fuera del Espacio Económico Europeo (EEE) solo se llevará a cabo cuando existan garantías adecuadas de conformidad con la Legislación de Protección de Datos (por ejemplo, decisión de adecuación de la Comisión Europea, Cláusulas Contractuales Tipo aprobadas, Normas Corporativas Vinculantes). El Encargado informará al Cliente, a petición de este, sobre los mecanismos de transferencia utilizados.

---

6. Ley aplicable y jurisdicción competente

Este DPA se rige por el derecho francés. Cualquier controversia relativa a su interpretación o ejecución se someterá a la jurisdicción de los tribunales designados en el Acuerdo Principal.

---

7. Responsabilidad

La responsabilidad de cada parte derivada de o relacionada con este DPA estará sujeta a las limitaciones y exclusiones de responsabilidad establecidas en el Acuerdo Principal.

---

Al aceptar los Términos y Condiciones o al utilizar el Software, usted reconoce haber leído, comprendido y aceptado quedar vinculado por las disposiciones del presente Contrato de Encargo de Tratamiento de Datos.