--- title: "Acuerdo de Encargo del Tratamiento (DPA)" description: "Última actualización: 30 de mayo de 2026" canonical_url: "https://getminds.ai/legal/es/dpa" last_updated: "2026-06-24T15:46:19.325Z" --- # Acuerdo de Encargo del Tratamiento (DPA) **Última actualización: 30 de mayo de 2026** El presente Acuerdo de Encargo del Tratamiento ("DPA"), conforme al art. 28 del RGPD, forma parte del Contrato celebrado entre Art of X UG (haftungsbeschränkt) ("Encargado del Tratamiento", "nosotros") y el Cliente ("Responsable del Tratamiento", "usted") para el uso de nuestros servicios (el "Contrato Principal"). ## 1. Definiciones - **Datos personales**: toda información sobre una persona física identificada o identificable (art. 4.1 RGPD). - **Tratamiento**: cualquier operación realizada sobre datos personales, incluida la recopilación, el almacenamiento, el uso y la supresión (art. 4.2 RGPD). - **Subencargado**: cualquier tercero contratado por el Encargado del Tratamiento para tratar datos personales. - **RGPD**: Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos). - **Violación de la seguridad de los datos**: toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos (art. 4.12 RGPD). ## 2. Ámbito de aplicación y duración del tratamiento 2.1 El presente DPA se aplica a todo Tratamiento de Datos Personales realizado por el Encargado del Tratamiento por cuenta del Responsable del Tratamiento en relación con los servicios. 2.2 El Encargado del Tratamiento tratará los Datos Personales únicamente con la finalidad de prestar los servicios descritos en el Contrato Principal y conforme a las instrucciones documentadas del Responsable del Tratamiento. 2.3 La duración del Tratamiento se corresponde con la vigencia del Contrato Principal, salvo que de las disposiciones del presente DPA se deriven obligaciones adicionales. ## 3. Detalles del tratamiento de datos
Categoría Descripción
Objeto Prestación de la plataforma de IA "Minds", incluidos asistentes de IA, paneles sintéticos, simulaciones group-grounded, acceso API/MCP, flujos de extensión de navegador/widgets, integraciones, voz/mensajería y servicios relacionados
Duración Durante la vigencia del Contrato Principal
Naturaleza y finalidad Alojamiento, autenticación, almacenamiento, recuperación, análisis, simulación y generación de resultados a partir de datos del Responsable; operación de integraciones opcionales como Google Calendar, API pública/MCP, extracción de fuentes, mensajería/voz y facturación. Los datos del Responsable no se usan para entrenar modelos generales o accesibles a terceros salvo opt-in expreso.
Tipos de datos personales Datos de contacto, credenciales, datos de uso, contenido (texto, imágenes, audio, archivos, URLs), prompts y resultados, embeddings, claves API, tokens OAuth, metadatos de calendario/asistentes, metadatos y audio de teléfono/mensajes/llamadas cuando esté habilitado, datos técnicos, pago (Stripe), auditoría y seguridad
Categorías de interesados Empleados y agentes del Responsable, usuarios finales invitados, personas cuyos datos sean introducidos y personas referenciadas en contenido, eventos de calendario, mensajes o fuentes públicas
## 4. Derechos de instrucción 4.1 El Encargado del Tratamiento tratará los Datos Personales únicamente sobre la base de instrucciones documentadas del Responsable del Tratamiento, incluidas las instrucciones recogidas en el presente DPA y en el Contrato Principal, salvo que esté obligado a ello por el Derecho de la Unión o de los Estados miembros al que esté sujeto. En tal caso, el Encargado del Tratamiento informará al Responsable del Tratamiento de dicha exigencia legal antes del Tratamiento, salvo que dicho Derecho prohíba tal información. 4.2 Las instrucciones podrán darse por escrito o en forma textual (incluido correo electrónico). Las instrucciones orales deberán confirmarse en forma textual sin demora indebida. 4.3 El Encargado del Tratamiento informará de inmediato al Responsable del Tratamiento si, a juicio del Encargado del Tratamiento, una instrucción infringe la legislación sobre protección de datos (art. 28.3, tercera frase RGPD). El Encargado del Tratamiento tendrá derecho a suspender la ejecución de la instrucción correspondiente hasta que sea confirmada o modificada por el Responsable del Tratamiento. ## 5. Obligaciones del Encargado del Tratamiento El Encargado del Tratamiento deberá: 5.1 Tratar los Datos Personales únicamente dentro del ámbito de las instrucciones del Responsable del Tratamiento y no para sus propios fines. 5.2 Garantizar que las personas autorizadas para tratar los Datos Personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación legal de confidencialidad adecuada (art. 28.3.b RGPD). 5.3 Implementar y mantener medidas técnicas y organizativas apropiadas (MTO) conforme al art. 32 RGPD durante toda la vigencia del presente DPA. Las MTO actuales se describen en el **Anexo 1 – Medidas Técnicas y Organizativas (MTO)** del presente DPA y están disponibles en [https://getminds.ai/legal/tom](/legal/tom). 5.4 Informar de inmediato al Responsable del Tratamiento si tiene conocimiento de cualquier infracción del RGPD o de otras normas de protección de datos en relación con el Tratamiento. 5.5 Designar un Delegado de Protección de Datos cuando así lo exija la ley. El Delegado de Protección de Datos actual es: Prof. Dr. Norman Uhlmann, h3ko Innovations GmbH, Pappelallee 64, 16359 Biesenthal, Alemania. Correo electrónico: [privacy@getminds.ai](mailto:privacy@getminds.ai) ## 6. Derechos de los interesados 6.1 El Encargado del Tratamiento asistirá al Responsable del Tratamiento mediante medidas técnicas y organizativas apropiadas, en la medida de lo posible, en el cumplimiento de las obligaciones del Responsable del Tratamiento de responder a las solicitudes de ejercicio de los derechos de los interesados establecidos en el Capítulo III del RGPD (acceso, rectificación, supresión, limitación del tratamiento, portabilidad de datos, oposición). 6.2 Si un interesado se dirige directamente al Encargado del Tratamiento con una solicitud, el Encargado del Tratamiento remitirá la solicitud al Responsable del Tratamiento sin demora indebida. ## 7. Asistencia con las obligaciones de protección de datos 7.1 El Encargado del Tratamiento asistirá al Responsable del Tratamiento, teniendo en cuenta la naturaleza del Tratamiento y la información a disposición del Encargado del Tratamiento, en el cumplimiento de las obligaciones previstas en los artículos 32 a 36 del RGPD, en particular: - garantizar la seguridad del Tratamiento (art. 32 RGPD); - notificar las violaciones de la seguridad de los Datos Personales a la autoridad de control (art. 33 RGPD) y a los interesados (art. 34 RGPD); - llevar a cabo Evaluaciones de Impacto relativas a la Protección de Datos (art. 35 RGPD); - consulta previa a la autoridad de control (art. 36 RGPD). 7.2 El Encargado del Tratamiento asistirá al Responsable del Tratamiento en solicitudes e investigaciones de las autoridades de control de protección de datos relacionadas con el Tratamiento encomendado. ## 8. Subencargados 8.1 El Responsable del Tratamiento otorga por el presente al Encargado del Tratamiento autorización general por escrito para contratar a Subencargados conforme al art. 28.2 RGPD, con sujeción a los requisitos de la presente sección. 8.2 Los Subencargados actuales en el momento de celebración del presente DPA están relacionados en [https://getminds.ai/legal/subprocessors](/legal/subprocessors). 8.3 El Encargado del Tratamiento notificará al Responsable del Tratamiento cualquier adición o sustitución prevista de Subencargados con al menos **14 días** de antelación a la fecha del cambio previsto, dando al Responsable del Tratamiento la oportunidad de oponerse. 8.4 Si el Responsable del Tratamiento formula objeciones dentro del plazo de preaviso, las partes procurarán alcanzar una solución amistosa. Si ello no fuera posible, el Responsable del Tratamiento tendrá derecho a resolver el Contrato Principal con efecto inmediato. 8.5 El Encargado del Tratamiento garantizará contractualmente que los Subencargados queden sujetos a obligaciones de protección de datos no menos protectoras que las establecidas en el presente DPA (art. 28.4 RGPD). El Encargado del Tratamiento responderá de los actos y omisiones de sus Subencargados como si fueran propios. ## 9. Transferencias internacionales 9.1 El Tratamiento de Datos Personales en un tercer país o por una organización internacional solo tendrá lugar cuando se cumplan las condiciones específicas de los artículos 44 y siguientes del RGPD. 9.2 Para los Subencargados ubicados en los Estados Unidos, las transferencias se realizan sobre la base de: - El Marco de Privacidad de Datos UE-EE. UU. (DPF), cuando el Subencargado esté certificado - Cláusulas Contractuales Tipo (CCT) conforme a la Decisión de Ejecución (UE) 2021/914 de la Comisión 9.3 Para los Subencargados en el Reino Unido, es de aplicación la decisión de adecuación de la Comisión Europea (Decisión 2021/1772). 9.4 El Encargado del Tratamiento supervisa el estado de las decisiones de adecuación y los mecanismos de transferencia aplicables e informará al Responsable del Tratamiento si los cambios requieren una adaptación de la base de transferencia. 9.5 Si el Encargado del Tratamiento o alguno de sus Subencargados recibe una orden gubernamental de divulgación de Datos Personales (incluidas las órdenes al amparo de la CLOUD Act de EE. UU., FISA o legislación comparable), el Encargado del Tratamiento informará al Responsable del Tratamiento sin demora indebida, en la medida en que esté legalmente permitido. El Encargado del Tratamiento revisará la legalidad de la orden e interpondrá los recursos legales razonables antes de divulgar cualquier Dato Personal. ## 10. Notificación de violaciones de seguridad de Datos Personales 10.1 El Encargado del Tratamiento notificará al Responsable del Tratamiento sin demora indebida y, en todo caso, en un plazo de **48 horas** desde que tenga conocimiento de una violación de la seguridad de los Datos Personales. 10.2 La notificación incluirá, como mínimo: - una descripción de la naturaleza de la violación, incluyendo, cuando sea posible, las categorías y el número aproximado de interesados y registros de datos afectados; - el nombre y los datos de contacto del Delegado de Protección de Datos u otro punto de contacto; - una descripción de las posibles consecuencias de la violación; - una descripción de las medidas adoptadas o propuestas para hacer frente a la violación y mitigar sus efectos. 10.3 El Encargado del Tratamiento asistirá al Responsable del Tratamiento en el cumplimiento de las obligaciones de notificación previstas en los artículos 33 y 34 del RGPD. ## 11. Derechos de auditoría 11.1 El Encargado del Tratamiento pondrá a disposición del Responsable del Tratamiento toda la información necesaria para demostrar el cumplimiento de las obligaciones previstas en el art. 28 RGPD. 11.2 El Responsable del Tratamiento estará facultado para llevar a cabo auditorías, incluidas inspecciones, en las instalaciones del Encargado del Tratamiento o a través de un auditor designado. Dichas auditorías se realizarán con un preaviso razonable (al menos 14 días) durante el horario laboral habitual y no deberán perturbar indebidamente las operaciones comerciales del Encargado del Tratamiento. 11.3 El Encargado del Tratamiento podrá presentar informes de auditoría vigentes, certificaciones o extractos de los mismos para demostrar el cumplimiento. 11.4 Los auditores terceros designados deberán estar sujetos a obligaciones de confidencialidad con carácter previo. Los costes de la auditoría serán asumidos por el Responsable del Tratamiento, salvo que se constate un incumplimiento por parte del Encargado del Tratamiento. ## 12. Supresión y devolución de los Datos Personales 12.1 A la terminación del Contrato Principal, el Encargado del Tratamiento suprimirá todos los Datos Personales tratados por cuenta del Responsable del Tratamiento en un plazo de **30 días**, salvo que el Responsable del Tratamiento solicite la devolución de los datos en un formato común y legible por máquina. 12.2 La supresión se realizará conforme al estado actual de la técnica y se confirmará al Responsable del Tratamiento por escrito cuando así lo solicite. 12.3 Cuando la conservación sea exigida por el Derecho de la Unión o de los Estados miembros, el Encargado del Tratamiento informará al Responsable del Tratamiento de la obligación de conservación y de los datos afectados. ## 13. Responsabilidad 13.1 La responsabilidad de las partes se regirá por el art. 82 RGPD. 13.2 El Encargado del Tratamiento responderá ante el Responsable del Tratamiento de los daños derivados de un Tratamiento que no cumpla el RGPD o las instrucciones del Responsable del Tratamiento. 13.3 El Encargado del Tratamiento responderá de los actos y omisiones de sus Subencargados como si fueran propios. 13.4 Salvo que se acuerde otra cosa en el Contrato Principal, la responsabilidad agregada del Encargado del Tratamiento se limitará a los honorarios abonados al Encargado del Tratamiento en los 12 meses anteriores al hecho que dé lugar a la reclamación. Esta limitación no se aplicará a reclamaciones derivadas de dolo o culpa grave, ni a reclamaciones cuya limitación esté prohibida por las disposiciones imperativas del RGPD. ## 14. Modificaciones del presente DPA 14.1 El Encargado del Tratamiento podrá modificar el presente DPA con un preaviso de al menos 30 días antes de que la modificación surta efecto, cuando dicha modificación sea necesaria debido a cambios legislativos, resoluciones regulatorias, evoluciones técnicas o cambios en las actividades de tratamiento. 14.2 Las modificaciones se notificarán al Responsable del Tratamiento por correo electrónico a la dirección asociada a su cuenta. La versión modificada se publicará en [https://getminds.ai/legal/dpa](/legal/dpa). 14.3 Si el Responsable del Tratamiento no se opone a las modificaciones en un plazo de 30 días desde la recepción de la notificación, se entenderán aceptadas. El Encargado del Tratamiento llamará la atención sobre esta consecuencia jurídica en la notificación de modificación. 14.4 Si el Responsable del Tratamiento se opone, las partes procurarán alcanzar una solución amistosa. Si ello no fuera posible, el Responsable del Tratamiento tendrá derecho a resolver el Contrato Principal con efecto inmediato. ## 15. Disposiciones finales 15.1 El presente DPA se regirá por las leyes de la República Federal de Alemania. 15.2 El fuero exclusivo para todos los litigios derivados del presente DPA o relacionados con él será Berlín, en la medida en que esté legalmente permitido. 15.3 Las modificaciones y adiciones al presente DPA deberán realizarse en forma textual, salvo que se disponga otra cosa en la Sección 14. 15.4 En caso de que alguna disposición del presente DPA resulte o devenga nula, no se verá afectada la validez de las disposiciones restantes. 15.5 En caso de conflicto entre el presente DPA y el Contrato Principal, prevalecerá el presente DPA en lo que respecta a la protección de los Datos Personales. --- **Art of X UG (haftungsbeschränkt)** Köpenicker Straße 145, 10997 Berlín, Alemania Administradores: Friedrich von Borries y Alexander Doudkin Para consultas sobre el presente DPA, contacte con: [privacy@getminds.ai](mailto:privacy@getminds.ai) --- ## Anexo 1: Medidas Técnicas y Organizativas (MTO) **Última actualización: 30 de mayo de 2026** Art of X UG (haftungsbeschränkt) ("Minds") implementa las siguientes medidas técnicas y organizativas conforme al art. 32 del RGPD para garantizar un nivel de seguridad adecuado al riesgo que entraña el tratamiento de datos personales. --- ## 1. Control de acceso ### Control de acceso físico La infraestructura de Minds se aloja exclusivamente con proveedores de nube certificados: - **DigitalOcean** – centro de datos de Fráncfort, Alemania (UE). Certificaciones: SOC 2 Type II, ISO 27001, ISO 27017, ISO 27018. - **Supabase** – centro de datos de Estocolmo, Suecia (UE), alojado en AWS. Certificaciones: SOC 2 Type II. La seguridad física (controles de acceso biométrico, vigilancia 24/7, registro de accesos) está gestionada íntegramente por los proveedores de nube. ### Control de acceso lógico - Control de acceso basado en roles (RBAC) para todos los sistemas internos e interfaces de administración. - Autenticación multifactor (MFA) obligatoria para todo acceso de empleados a sistemas de producción. - Cuentas de usuario individuales: sin credenciales compartidas. - Revisión y revocación periódica de derechos de acceso conforme al principio de privilegio mínimo. - Las claves de API y credenciales se gestionan en gestores de secretos cifrados. --- ## 2. Cifrado ### Cifrado en tránsito - Todas las transmisiones de datos se aseguran mediante TLS 1.2 o superior. - HSTS (HTTP Strict Transport Security) está habilitado para todos los endpoints públicos. - La comunicación interna entre servicios también está cifrada. ### Cifrado en reposo - Las bases de datos (Supabase/PostgreSQL) utilizan cifrado AES-256 para los datos en reposo. - El almacenamiento de archivos (DigitalOcean Spaces / Supabase Storage) utiliza cifrado AES-256 del lado del servidor. - Las copias de seguridad se almacenan de forma cifrada. --- ## 3. Separación de datos (aislamiento de tenants) - Separación lógica estricta de los datos de los clientes a nivel de base de datos mediante aislamiento de tenants (Row-Level Security en PostgreSQL). - Cada cliente solo puede acceder a sus propios datos, aplicado tanto a nivel de base de datos como de API. - Pruebas automatizadas aseguran que no se produzca ninguna fuga de datos entre tenants. --- ## 4. Disponibilidad y resiliencia ### Arquitectura de alojamiento - La aplicación se ejecuta en DigitalOcean App Platform con escalado automático y comprobaciones de estado. - Base de datos en Supabase con configuración de alta disponibilidad. ### Copias de seguridad y recuperación - Copias de seguridad automáticas diarias de la base de datos con un período de retención de al menos 7 días. - Recuperación a un punto en el tiempo (PITR) para la base de datos PostgreSQL. - Pruebas periódicas de los procedimientos de recuperación. - Objetivo de tiempo de recuperación (RTO): conforme a lo definido en el SLA. - Objetivo de punto de recuperación (RPO): máximo 24 horas. --- ## 5. Respuesta a incidentes - Proceso documentado de respuesta a incidentes para incidentes de seguridad. - Notificación al responsable del tratamiento (cliente) en un plazo de **48 horas** desde que se tenga conocimiento de una brecha de datos personales, conforme al Acuerdo de Encargo del Tratamiento (DPA). - Registro y seguimiento de todos los incidentes relevantes para la seguridad. - Revisión y actualización periódica del plan de respuesta a incidentes. --- ## 6. Confidencialidad y obligaciones de los empleados - Todos los empleados y colaboradores están vinculados por acuerdos de confidencialidad (NDA). - Formación periódica en protección de datos para todos los empleados. - Obligación de mantener el secreto de los datos conforme al RGPD. - El acceso a datos personales se concede únicamente según el principio de necesidad de conocimiento. --- ## 7. Gestión de subencargados - Selección cuidadosa de los subencargados con base en criterios de protección de datos y seguridad. - Obligación contractual de todos los subencargados de cumplir con un tratamiento de datos conforme al RGPD. - Revisión periódica de los subencargados. - La lista actual de subencargados está disponible en [Subencargados](/legal/subprocessors). - Preaviso a los clientes de cualquier cambio conforme al DPA. --- ## 8. Registro y monitorización - Registro centralizado de eventos del sistema y accesos. - Los registros de auditoría cubren acceso API/MCP, cambios OAuth e integraciones, sincronización/webhooks de calendario y acciones administrativas relevantes para seguridad. - **Langfuse** para monitorizar y trazar interacciones con modelos de IA (alojado en la UE). - **PostHog** para analítica de producto y reproducción opcional de sesiones: analítica persistente/reproducción solo con consentimiento; diagnósticos limitados sin cookies cuando sea lícito. - Monitorización de métricas críticas del sistema con alertas automatizadas. - Revisión periódica de registros para detectar anomalías. --- ## 9. Minimización de datos y seudonimización ### Minimización de datos - Recopilación y tratamiento únicamente de los datos personales necesarios para la finalidad del tratamiento. - Revisión periódica de las categorías de datos tratados en cuanto a su necesidad. - Supresión automática de los datos que ya no sean necesarios conforme a los plazos de conservación definidos. ### Seudonimización - Cuando sea técnicamente viable y apropiado, los datos personales se tratan de forma seudonimizada. - El tratamiento interno utiliza principalmente UUID en lugar de nombres reales. - Las evaluaciones analíticas se realizan de forma agregada o seudonimizada. --- ## 10. Revisión y evaluación periódicas - Evaluaciones periódicas de seguridad de la infraestructura y las aplicaciones. - Las dependencias se verifican periódicamente en busca de vulnerabilidades conocidas (dependency scanning). - Revisión y actualización de estas MTO al menos anualmente o ante cambios significativos en las actividades de tratamiento. - Mejora continua de las medidas de seguridad con base en el panorama actual de amenazas. --- ## 11. Medidas adicionales ### Control de entrada - Registro de los cambios en los datos personales (audit trail). - Trazabilidad de quién introdujo, modificó o eliminó qué datos y cuándo. ### Control de transferencia - Las transferencias de datos se realizan exclusivamente de forma cifrada. - No se transfieren datos personales a terceros países sin un nivel adecuado de protección (decisión de adecuación o Cláusulas Contractuales Tipo). ### Control del tratamiento - Tratamiento de datos personales exclusivamente conforme a las instrucciones del responsable del tratamiento. - Regulación contractual del encargo del tratamiento en el DPA. --- *Estas medidas técnicas y organizativas se revisan periódicamente y se actualizan cuando resulta necesario para garantizar un nivel de protección acorde con el estado actual de la técnica.*