Contrato de Encargado del Tratamiento

Versión 2026-05 · BLACK FLASH S.L. · conforme al art. 28 RGPD

¿Qué es esto y por qué lo firmas?
Cuando usas Nesis, nuestro asistente conversa con tus clientes y trata sus datos personales (nombre, teléfono, citas, mensajes). La ley exige un contrato que regule cómo los tratamos por cuenta tuya. Tú sigues siendo el responsable de esos datos; Nesis es el encargado. Aceptas este contrato marcando la casilla del registro.

Partes

Responsable del tratamiento
El Cliente: la persona física o jurídica que contrata el servicio Nesis, identificada mediante los datos aportados en su registro en ianesis.com.
Encargado del tratamiento
BLACK FLASH S.L. · CIF B42911297 · Pamplona, Navarra (España) · ia@ianesis.com · marca comercial «Nesis».

1. Objeto

El Encargado tratará datos personales por cuenta del Responsable con el único fin de prestar el servicio Nesis: asistente conversacional con IA y gestión de reservas, citas y comunicaciones con los clientes del Responsable.

2. Duración

Este contrato es eficaz mientras dure la suscripción del Responsable al servicio Nesis. Finalizada la relación, se aplica la cláusula 9.

3. Naturaleza y finalidad del tratamiento

Atención automatizada a los clientes del Responsable, gestión de citas y reservas, envío de recordatorios y confirmaciones, captación de leads y comunicaciones relacionadas con la actividad del Responsable. El Encargado no trata los datos para fines propios.

4. Tipos de datos personales

Datos identificativos y de contacto (nombre, teléfono, email), datos de citas y reservas, y el contenido de las conversaciones de chat. El servicio no está diseñado para tratar datos de categoría especial (art. 9 RGPD): el Encargado aplica un filtro automático que redacta y no almacena los datos sensibles que un usuario final pudiera introducir por iniciativa propia, ni los envía a sus subencargados de IA.

5. Categorías de interesados

Los clientes, pacientes o usuarios finales del Responsable que interactúan con el asistente Nesis, así como los contactos y leads generados.

6. Obligaciones del Encargado (art. 28.3 RGPD)

  1. Tratar los datos únicamente siguiendo instrucciones documentadas del Responsable —constituyen instrucciones la configuración del servicio y este contrato—.
  2. Garantizar que las personas autorizadas a tratar los datos se comprometen a la confidencialidad.
  3. Aplicar las medidas técnicas y organizativas del art. 32 RGPD: cifrado en tránsito y en reposo, control de acceso, alojamiento de datos en la Unión Europea.
  4. No recurrir a otro encargado sin autorización; el Responsable autoriza los subencargados de la cláusula 8.
  5. Asistir al Responsable para que pueda atender las solicitudes de ejercicio de derechos de los interesados.
  6. Asistir al Responsable en el cumplimiento de los arts. 32 a 36 RGPD (seguridad, notificación de brechas y evaluaciones de impacto).
  7. Notificar al Responsable, sin dilación indebida y a más tardar en 72 horas, cualquier violación de seguridad de la que tenga conocimiento.
  8. A elección del Responsable, suprimir o devolver los datos al finalizar la prestación (cláusula 9).
  9. Poner a disposición del Responsable la información necesaria para demostrar el cumplimiento de estas obligaciones y permitir auditorías.

7. Obligaciones del Responsable

El Responsable garantiza que dispone de base legítima para los tratamientos que encomienda, informa adecuadamente a sus interesados y traslada al Encargado únicamente los datos necesarios. El Responsable se abstiene de configurar el servicio para recabar datos de categoría especial.

8. Subencargados autorizados

El Responsable autoriza al Encargado a servirse de los siguientes proveedores tecnológicos, con los que el Encargado mantiene su propio contrato de encargo:

El Encargado informará al Responsable de cualquier alta o baja de subencargados, dándole oportunidad de oponerse.

9. Ubicación de los datos y transferencias internacionales

Los datos se alojan en servidores ubicados en la Unión Europea. Cuando un subencargado trate datos fuera del Espacio Económico Europeo (por ejemplo, OpenAI en EE. UU.), la transferencia se ampara en las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea u otra garantía adecuada del art. 46 RGPD.

10. Fin de la prestación

Al finalizar la relación contractual, el Encargado, a elección del Responsable, suprimirá o le devolverá los datos personales, así como cualquier copia, salvo que una norma exija su conservación, en cuyo caso permanecerán debidamente bloqueados.

11. Responsabilidad

Cada parte responde de los daños y perjuicios que cause a la otra o a terceros como consecuencia del incumplimiento de las obligaciones de protección de datos que le sean imputables, conforme al art. 82 RGPD.

12. Aceptación

Este contrato se perfecciona mediante aceptación electrónica al marcar la casilla correspondiente en el formulario de registro de Nesis. Como prueba de la aceptación se conservan la fecha y hora, la dirección IP y la versión del contrato aceptada. El Responsable puede solicitar una copia en cualquier momento escribiendo a ia@ianesis.com.

BLACK FLASH S.L. · CIF B42911297 · Pamplona, Navarra (España) · ia@ianesis.com
Contrato de encargado del tratamiento · Versión 2026-05 · Para dudas sobre protección de datos: política de privacidad.