MeigaHub MeigaHub ← Volver

Acuerdo de Encargo de Tratamiento (DPA)

Versión 2026-05-27 · Conforme al Art. 28 RGPD y Decisión (UE) 2021/914

Ver lista de subencargados
Documento informativo · No vinculante

MeigaHub se encuentra en pre-lanzamiento. Este Acuerdo se publica con carácter informativo y no produce efectos jurídicos hasta que el Prestador complete la constitución formal de su entidad y publique sus datos identificativos en el Aviso Legal. La firma electrónica permanece deshabilitada mientras esto no ocurra.

Entre las partes:

  • RESPONSABLE DEL TRATAMIENTO ("Cliente"): la persona física o jurídica titular de la cuenta de usuario en MeigaHub, identificada en su perfil y, en su caso, en la firma del presente Acuerdo.
  • ENCARGADO DEL TRATAMIENTO ("Prestador"): MeigaHub, titular de la plataforma accesible en meigahub.com, con domicilio y datos de contacto disponibles en el Aviso Legal.

Ambas partes reconocen capacidad suficiente para suscribir el presente Acuerdo de Encargo de Tratamiento de Datos Personales (en adelante, "DPA" o "Acuerdo"), que regula el tratamiento de datos personales que el Prestador realiza por cuenta del Cliente con motivo de la prestación de los servicios de la plataforma MeigaHub.

1. Marco normativo

El presente Acuerdo se rige por:

  • Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (Reglamento General de Protección de Datos, "RGPD"), en particular su artículo 28.
  • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales ("LOPDGDD").
  • Decisión de Ejecución (UE) 2021/914 de la Comisión, de 4 de junio de 2021, relativa a las Cláusulas Contractuales Tipo para la transferencia de datos personales a terceros países, en su Módulo 3 (encargado → subencargado), aplicable a las transferencias internacionales descritas en el Anexo III.
  • Directrices del Comité Europeo de Protección de Datos (CEPD/EDPB) y de la Agencia Española de Protección de Datos (AEPD).

2. Objeto y descripción del tratamiento (Anexo I, art. 28.3 RGPD)

2.1. Objeto

El Prestador tratará por cuenta del Cliente los datos personales necesarios para la ejecución de los servicios contratados a través de la plataforma MeigaHub, incluyendo: asistente conversacional, automatizaciones, gestión de contactos y leads, campañas de email, gestión de búsquedas de oportunidades, almacenamiento documental, integración con canales de mensajería y demás funcionalidades descritas en las Condiciones del Servicio.

2.2. Naturaleza del tratamiento

Recogida, registro, organización, estructuración, conservación, adaptación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo, interconexión, limitación, supresión o destrucción.

2.3. Finalidad

Permitir que el Cliente preste sus propios servicios y gestione su actividad mediante las funcionalidades de MeigaHub. El Prestador no utilizará los datos personales tratados por cuenta del Cliente para finalidades propias, ni para entrenar modelos de inteligencia artificial, ni para perfilado comercial.

2.4. Duración

El presente Acuerdo permanecerá vigente mientras dure la relación contractual entre Cliente y Prestador, y se extinguirá conforme a lo previsto en la cláusula 11 (Finalización).

2.5. Categorías de interesados

Las decididas en cada momento por el Cliente, que típicamente incluyen: clientes y potenciales clientes del Cliente, leads comerciales, contactos profesionales, empleados del Cliente que utilizan la plataforma, candidatos, proveedores y, en general, cualquier persona física cuyos datos el Cliente introduzca o procese a través de MeigaHub.

2.6. Categorías de datos personales

  • Datos identificativos: nombre, apellidos, alias.
  • Datos de contacto: dirección postal, teléfono, correo electrónico, identificadores de mensajería (Telegram, WhatsApp, etc.).
  • Datos profesionales y empresariales: cargo, empresa, sector, sitio web, NIF/CIF/VAT.
  • Datos de comunicación: contenido de mensajes intercambiados con el asistente y por canales conectados.
  • Datos económicos no sensibles: estado de oportunidades, leads, importes orientativos.
  • Datos técnicos: IP (almacenada con hash), user-agent, identificadores internos.

El Cliente se compromete a no introducir categorías especiales de datos (Art. 9 RGPD: salud, religión, ideología, etnia, biométricos, orientación sexual) ni datos de menores, salvo previo acuerdo escrito específico y adopción de medidas reforzadas.

2.7. Carácter sistemático del tratamiento

Continuado durante la vigencia del contrato, con flujos automatizados activados por el Cliente.

3. Obligaciones del Prestador (encargado)

El Prestador, conforme al Art. 28.3 RGPD, se obliga a:

  1. Tratar los datos personales únicamente siguiendo instrucciones documentadas del Cliente, incluidas las relativas a transferencias internacionales. Estas instrucciones son las dadas en este Acuerdo, en las Condiciones del Servicio y mediante la configuración que el Cliente realiza en su panel.
  2. Garantizar que las personas autorizadas para tratar los datos se han comprometido a respetar la confidencialidad.
  3. Adoptar todas las medidas técnicas y organizativas necesarias en virtud del Art. 32 RGPD (ver Anexo II — Medidas de seguridad).
  4. Respetar las condiciones para recurrir a subencargados previstas en la cláusula 5 y en el Anexo III.
  5. Asistir al Cliente, mediante medidas técnicas y organizativas apropiadas, para que pueda responder a los ejercicios de derechos de los interesados (acceso, rectificación, supresión, oposición, limitación, portabilidad y a no ser objeto de decisiones automatizadas).
  6. Ayudar al Cliente a cumplir las obligaciones de los Arts. 32 a 36 RGPD (seguridad, brechas, evaluación de impacto y consulta previa), teniendo en cuenta la naturaleza del tratamiento y la información disponible.
  7. Notificar al Cliente sin dilación indebida y, a más tardar, en 48 horas tras tener conocimiento de cualquier violación de la seguridad de los datos personales, conforme al Art. 33 RGPD.
  8. A elección del Cliente, suprimir o devolver todos los datos personales a la finalización de los servicios, salvo obligación legal de conservación (ver cláusula 11).
  9. Poner a disposición del Cliente toda la información necesaria para demostrar el cumplimiento de las obligaciones del Art. 28 RGPD, así como permitir y contribuir a auditorías (ver cláusula 9).

4. Obligaciones del Cliente (responsable)

El Cliente garantiza que:

  1. El tratamiento que encarga al Prestador es lícito y dispone de una base jurídica válida conforme al Art. 6 RGPD (y, en su caso, Art. 9) para todos los datos que introduzca en la plataforma.
  2. Ha cumplido el deber de información a los interesados (Arts. 13 y 14 RGPD), incluyendo la comunicación de que sus datos pueden ser tratados por MeigaHub como encargado.
  3. Mantendrá el Registro de Actividades de Tratamiento exigido por el Art. 30 RGPD.
  4. No utilizará la plataforma para tratar datos prohibidos por las Condiciones del Servicio (campañas spam, datos obtenidos ilícitamente, perfilado masivo sin base legal, etc.).
  5. Realizará, cuando proceda, la Evaluación de Impacto en Protección de Datos (EIPD) conforme al Art. 35 RGPD.

5. Subencargados (Art. 28.2 y 28.4 RGPD)

El Cliente autoriza con carácter general al Prestador para contratar a los subencargados listados en el Anexo III — Lista pública de subencargados, accesible permanentemente en https://meigahub.com/legal/subprocessors.

El Prestador:

  • Informará al Cliente con una antelación mínima de 30 días de cualquier alta o cambio relevante de subencargados, mediante publicación en la URL anterior y aviso en el panel.
  • El Cliente tendrá derecho a oponerse motivadamente dentro de ese plazo. En caso de desacuerdo no resuelto, podrá resolver el contrato sin penalización.
  • Impondrá a cada subencargado, mediante contrato, las mismas obligaciones de protección de datos establecidas en el presente Acuerdo. El Prestador responde frente al Cliente del cumplimiento por parte de sus subencargados.

6. Transferencias internacionales (Cap. V RGPD)

Algunos subencargados están ubicados fuera del Espacio Económico Europeo (principalmente Estados Unidos). En todos los casos, el Prestador garantiza una base válida para la transferencia:

  • Decisión de adecuación aplicable cuando exista (p. ej., EU-US Data Privacy Framework para los proveedores adheridos), o
  • Cláusulas Contractuales Tipo de la Comisión Europea (Decisión 2021/914), Módulo 3, complementadas con las medidas suplementarias técnicas, contractuales y organizativas necesarias (cifrado en tránsito y reposo, minimización, seudonimización cuando proceda, auditoría de accesos).

Cada transferencia incluye, cuando es exigible, una Evaluación de Impacto de Transferencia (TIA) basada en las Recomendaciones 01/2020 del CEPD.

7. Medidas de seguridad (Art. 32 RGPD — Anexo II)

El Prestador implanta, entre otras:

  • Cifrado en tránsito (TLS 1.2+) y en reposo (AES-256) para credenciales, claves API y datos sensibles.
  • Autenticación multifactor (2FA TOTP) obligatoria para todos los usuarios no administradores.
  • Control de acceso basado en rol, segregación multi-tenant a nivel de aplicación y base de datos.
  • Hash SHA-256 de direcciones IP (cumplimiento de minimización).
  • Sistema de detección de amenazas con bloqueo automático de IPs reincidentes.
  • Auditoría inmutable de uso de APIs cloud (sólo metadatos, nunca contenido), con retención de 13 meses.
  • Copias de seguridad cifradas y pruebas periódicas de restauración.
  • Política de contraseñas y rotación de claves.
  • Aislamiento de red entre servidores LLM de usuarios (red Tailscale con ACL deny-by-default).
  • Registro de eventos de seguridad y revisión periódica.

8. Violaciones de seguridad (Art. 33 RGPD)

El Prestador notificará al Cliente, sin dilación indebida y no más tarde de 48 horas desde el momento en que tenga conocimiento de una violación de seguridad que afecte a los datos personales tratados por cuenta del Cliente, mediante correo electrónico al contacto de privacidad del Cliente y aviso en el panel, incluyendo:

  • Naturaleza de la violación y categorías y número aproximado de interesados afectados.
  • Consecuencias probables y medidas adoptadas o propuestas para mitigarlas.
  • Contacto del DPO o responsable interno del Prestador.

La notificación al Cliente no exime a éste de sus propias obligaciones de notificación frente a la autoridad de control (AEPD) y, en su caso, a los interesados.

9. Auditoría y verificación

El Cliente podrá, con un preaviso razonable de 30 días y como máximo una vez al año (salvo violación de seguridad), solicitar:

  • Información documental sobre las medidas de seguridad implementadas.
  • Acceso a informes recientes de auditoría o certificaciones del Prestador (si existen).
  • Auditoría presencial o remota, realizada por personal del Cliente o auditor independiente no competidor del Prestador, sujeta a confidencialidad y a las medidas necesarias para preservar la seguridad y la confidencialidad de los demás clientes.

Los costes razonables de la auditoría serán a cargo del Cliente salvo que la auditoría revele incumplimientos materiales del Prestador.

10. Responsabilidad e indemnización

Cada parte responderá frente a la otra por los daños causados por incumplimiento de sus respectivas obligaciones bajo el RGPD y el presente Acuerdo, sin perjuicio de los regímenes de responsabilidad conjunta previstos en el Art. 82 RGPD frente a interesados.

La responsabilidad económica del Prestador frente al Cliente derivada del presente Acuerdo queda limitada en los términos previstos en las Condiciones del Servicio, salvo dolo o culpa grave o cuando la limitación no sea válida conforme a la legislación imperativa.

11. Finalización del Acuerdo

A la finalización de los servicios, el Prestador, a elección del Cliente expresada por escrito en los 30 días siguientes:

  • Devolverá al Cliente todos los datos personales en un formato estructurado y de uso común, o
  • Suprimirá los datos personales y certificará por escrito la supresión.

Transcurrido dicho plazo sin instrucciones, el Prestador procederá a la supresión. Podrán conservarse copias únicamente en la medida y por el tiempo exigidos por una obligación legal (p. ej., facturación), con acceso restringido.

12. Comunicaciones y delegado de protección de datos

Para cualquier asunto relativo a este Acuerdo: [email protected].

El Cliente designará, si dispone de él, a su Delegado de Protección de Datos (DPO) como interlocutor preferente para los avisos previstos en el presente DPA.

13. Ley aplicable y jurisdicción

El presente Acuerdo se rige por la legislación española y, en particular, por el RGPD y la LOPDGDD. Para cualquier controversia, las partes se someten a los Juzgados y Tribunales de la ciudad indicada en el Aviso Legal, sin perjuicio del derecho del Cliente consumidor a acudir a su fuero propio cuando la legislación imperativa así lo determine.

Anexo I — Descripción del tratamiento

Recogida en la cláusula 2 del presente Acuerdo.

Anexo II — Medidas técnicas y organizativas de seguridad

Recogidas en la cláusula 7 del presente Acuerdo y actualizadas periódicamente. Versión vigente disponible bajo solicitud a [email protected].

Anexo III — Lista de subencargados autorizados

Disponible y actualizada permanentemente en https://meigahub.com/legal/subprocessors.

Para firmar este DPA, inicia sesión con la cuenta empresarial titular del contrato.

Modelo basado en el Art. 28 RGPD, LOPDGDD y CCT UE 2021/914. Si necesitas un DPA personalizado, escríbenos a [email protected].