Acuerdo de Encargo de Tratamiento (DPA)

Documento: DPA-ROBIN-001
Versión 1.0
Vigente desde: 8 de mayo de 2026

Tipo de documento:

Acuerdo de Encargo de Tratamiento (art. 28 RGPD)

Encargado:

Robin Lawyers · [Razón social — pendiente]

Responsable:

El Usuario profesional o despacho que contrata el servicio

Ámbito:

Datos personales tratados a través del servicio Robin

Forma de aceptación:

Aceptación electrónica al contratar el plan profesional o despacho

DATA PROCESSING AGREEMENT

Acuerdo de Encargo de Tratamiento conforme al artículo 28 del RGPD

Este Acuerdo de Encargo de Tratamiento (el «DPA») forma parte integrante del contrato celebrado entre el cliente profesional o despacho (el «Responsable») y Robin Lawyers (el «Encargado») y regula el tratamiento de datos personales que el Encargado lleva a cabo por cuenta del Responsable como consecuencia de la prestación del servicio Robin.

Cuando el Usuario sea un profesional del derecho que utilice Robin para asistir a sus clientes, los datos personales de dichos clientes y terceros que el Usuario incorpore al servicio se tratan por Robin como Encargado en los términos de este DPA y del art. 28 RGPD.

1 · Objeto, naturaleza y finalidad del tratamiento

El tratamiento tiene por objeto la prestación del servicio Robin descrito en los Términos: indexación, búsqueda y procesamiento de consultas a través de modelos de IA y del corpus jurídico, almacenamiento del historial del Usuario, generación de respuestas y de documentos auxiliares.

2 · Categorías de interesados y de datos

Interesados: clientes y contrapartes del despacho, terceros mencionados en los expedientes, empleados del despacho que utilicen el servicio, contactos referidos por el Responsable.
Datos personales: identificativos (nombre, DNI cuando se introduzca), datos de contacto, hechos del expediente, datos económicos, eventualmente categorías especiales (art. 9 RGPD) cuando el Responsable las incluya en sus consultas (datos de salud, ideología, antecedentes penales, etc.).

El Responsable se compromete a no introducir datos personales innecesarios para la consulta ni categorías especiales sin disponer de base legítima específica para su tratamiento.

3 · Duración

Este DPA está vigente mientras el Responsable mantenga contratado el servicio Robin y hasta la devolución o supresión de los datos conforme a la cláusula 9.

4 · Obligaciones del Encargado

El Encargado se obliga a:

Tratar los datos únicamente conforme a las instrucciones documentadas del Responsable, incluidas las contenidas en este DPA y las que el Responsable comunique en cualquier momento.
Garantizar que el personal autorizado para tratar los datos se haya comprometido a respetar la confidencialidad o esté sujeto a una obligación legal de confidencialidad de naturaleza estatutaria.
Aplicar las medidas técnicas y organizativas apropiadas (cláusula 6) para garantizar un nivel de seguridad adecuado al riesgo.
Asistir al Responsable en el cumplimiento de las obligaciones de respuesta a los derechos de los interesados (arts. 15 a 22 RGPD), notificación de violaciones de seguridad y, en su caso, evaluaciones de impacto (art. 35 RGPD).
A elección del Responsable, suprimir o devolver los datos personales una vez finalizada la prestación del servicio, salvo que el Derecho de la Unión o de los Estados miembros exija su conservación.
Poner a disposición del Responsable la información necesaria para demostrar el cumplimiento del art. 28 RGPD y permitir auditorías razonables.

5 · Sub-encargados

El Responsable autoriza con carácter general al Encargado a recurrir a los sub-encargados listados a continuación. El Encargado mantendrá la lista actualizada y comunicará al Responsable, con un preaviso razonable, cualquier alta o cambio sustancial. El Responsable podrá oponerse motivadamente; si la oposición hace inviable la prestación del servicio, las partes podrán resolver el contrato.

Sub-encargado	Servicio	Ubicación / Garantías
Anthropic, PBC	Modelo de lenguaje Claude que procesa los prompts del Usuario.	EE. UU. · SCC + compromiso contractual de no entrenamiento.
OpenAI Ireland Ltd.	Modelo de lenguaje GPT cuando el Usuario lo conecta voluntariamente.	UE / EE. UU. · SCC.
Supabase Inc.	Gestión de identidades y autenticación.	UE — eu-central-1 (Frankfurt).
Stripe Payments Europe Ltd.	Procesamiento de pagos y suscripciones.	UE — Irlanda · PCI-DSS.
Google Cloud (Vertex AI)	Generación de embeddings vectoriales para la búsqueda semántica.	UE — europe-west.
Hetzner Online GmbH	Infraestructura principal del servicio.	Alemania — UE.

6 · Medidas técnicas y organizativas (art. 32 RGPD)

Cifrado en tránsito: TLS 1.3 con perfect forward secrecy.
Cifrado en reposo: AES-256 sobre los volúmenes de base de datos y backups.
Autenticación: contraseñas hasheadas con argon2; soporte de MFA.
Control de accesos: mínimos privilegios y separación de roles; logs de auditoría inmutables.
Aislamiento entre cuentas: los datos de un Responsable no son accesibles desde la cuenta de otro Responsable.
Backups: diarios, cifrados, retención 30 días.
Pruebas y revisiones: auditorías de seguridad periódicas y análisis de vulnerabilidades.
Formación interna en RGPD y secreto profesional para todo el personal con acceso.

7 · Violaciones de seguridad

El Encargado notificará al Responsable, sin dilación indebida y, en la medida de lo posible, en un plazo de 48 horas desde que tenga conocimiento de una violación de la seguridad de los datos personales tratados por su cuenta. La notificación incluirá la información razonablemente disponible sobre la naturaleza de la violación, las categorías y número aproximado de interesados afectados, las posibles consecuencias y las medidas adoptadas.

8 · Transferencias internacionales

Las transferencias internacionales necesarias para prestar el servicio (en particular, al sub-encargado Anthropic en EE. UU.) se realizan con base en las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (Decisión (UE) 2021/914), complementadas con medidas suplementarias técnicas y organizativas.

9 · Devolución y supresión

A la finalización de la prestación del servicio, el Encargado, a elección del Responsable expresada por correo a privacidad@robinlawyer.ai:

Devolverá los datos en formato estructurado (JSON o CSV) en un plazo máximo de 30 días, o
Suprimirá los datos personales y eliminará las copias existentes, completando el borrado en los backups en un plazo máximo de 90 días.

10 · Auditoría

El Encargado pondrá a disposición del Responsable, previa solicitud razonable y con un preaviso de al menos 15 días hábiles, los informes de seguridad, las certificaciones disponibles y la documentación necesaria para demostrar el cumplimiento. Las auditorías directas se realizarán durante el horario laboral ordinario, sin perjudicar la operativa del Encargado y respetando la confidencialidad de los datos de otros clientes.

11 · Responsabilidad

Cada parte responderá frente a los interesados y frente a las autoridades en los términos del art. 82 RGPD. La responsabilidad del Encargado frente al Responsable por incumplimiento de este DPA se rige por la limitación prevista en los Términos y, en todo caso, no se aplicará a las responsabilidades que la ley imperativa no permita limitar.

12 · Ley aplicable y jurisdicción

Este DPA se rige por la legislación española y por el RGPD. Las partes se someten, con renuncia a cualquier otro fuero que pudiera corresponderles, a los Juzgados y Tribunales de Madrid, sin perjuicio del fuero que corresponda imperativamente al Responsable cuando éste tenga la condición legal de consumidor.