Contrato de Encargo de Tratamiento de Datos (DPA)
Última actualización: enero de 2026
Este contrato cumple los requisitos del artículo 28 del Reglamento (UE) 2016/679 (RGPD). Al registrar una cuenta en LexCloud y aceptar este documento, el despacho suscribe este contrato de forma electrónica con eficacia jurídica plena conforme al art. 23 LSSI-CE.
1. Partes del contrato
- Responsable del Tratamiento: El despacho de abogados registrado en LexCloud, identificado por los datos aportados en el proceso de alta («el Responsable» o «el Despacho»).
- Encargado del Tratamiento: LexCloud Technologies S.L. / Alberto [Apellidos], con NIF [COMPLETAR], responsable de la plataforma LexCloud («LexCloud» o «el Encargado»).
2. Objeto del contrato
El presente contrato regula el tratamiento de datos personales que LexCloud realiza por cuenta del Despacho en el contexto de la prestación del servicio de gestión de despacho de abogados. LexCloud únicamente tratará los datos según las instrucciones del Despacho y para las finalidades descritas en este contrato.
3. Categorías de datos y personas afectadas
| Categoría de datos | Interesados |
|---|---|
| Nombre, apellidos, DNI/NIF, dirección, teléfono, email | Clientes del despacho |
| Información de expedientes y casos judiciales | Clientes del despacho, partes contrarias |
| Datos de facturación y pagos | Clientes del despacho |
| Comunicaciones y notas del expediente | Clientes del despacho |
| Documentos jurídicos (contratos, sentencias, escrituras…) | Clientes del despacho y terceros |
| Nombre, apellidos, email, teléfono de los miembros del equipo | Empleados / colaboradores del despacho |
| Grabaciones de audio / transcripciones de vistas | Partes del procedimiento |
Datos especialmente sensibles: Los expedientes pueden contener datos de categorías especiales (salud, religión, orientación sexual, opiniones políticas) o datos relativos a infracciones penales. El Despacho asume la responsabilidad de obtener las bases jurídicas adecuadas para su tratamiento conforme al art. 9 y 10 RGPD.
4. Instrucciones del Responsable al Encargado
LexCloud tratará los datos exclusivamente para:
- Almacenar y mostrar la información en la Plataforma al Despacho y sus usuarios autorizados.
- Procesar documentos con IA para las funciones de análisis, chat jurídico y transcripción, usando los datos únicamente para generar la respuesta solicitada y sin usarlos para entrenar modelos propios.
- Enviar comunicaciones automáticas (recordatorios de citas, emails de bienvenida) por instrucción del sistema configurado por el Despacho.
- Generar copias de seguridad automáticas.
- Proporcionar soporte técnico cuando el Despacho lo solicite expresamente.
LexCloud no utilizará los datos del Despacho para ninguna otra finalidad, incluyendo entrenar modelos propios, análisis de mercado o comunicaciones comerciales a los clientes del Despacho.
5. Obligaciones de LexCloud como Encargado
- Tratar los datos únicamente según las instrucciones documentadas del Responsable.
- Garantizar que las personas autorizadas para tratar los datos han asumido compromisos de confidencialidad.
- Implementar las medidas de seguridad técnicas y organizativas indicadas en el apartado 6.
- No recurrir a otro subencargado sin informar previamente al Responsable con 30 días de antelación, dando opción de oposición.
- Asistir al Responsable en el ejercicio de los derechos de los interesados (acceso, rectificación, supresión, portabilidad, oposición).
- Ayudar al Responsable a garantizar el cumplimiento de las obligaciones de seguridad (art. 32-36 RGPD).
- Notificar al Responsable sin dilación indebida (máximo 48 horas) cualquier violación de seguridad que afecte a los datos tratados.
- Suprimir o devolver todos los datos al Responsable una vez finalizada la prestación del servicio, según instrucción del Responsable.
- Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones de este contrato.
6. Medidas de seguridad aplicadas
- Cifrado en tránsito: TLS 1.2+ en todas las comunicaciones.
- Cifrado en reposo: Base de datos en servidor con cifrado de disco. Contraseñas hasheadas con bcrypt (coste 12). Credenciales sensibles cifradas con AES-256.
- Control de acceso: Sistema RBAC (roles: Administrador, Administrativo, Abogado, Pasante). Cada usuario solo accede a los datos que le corresponden.
- Aislamiento multi-tenant: Cada despacho opera en un espacio lógico completamente separado. Ningún usuario puede acceder a datos de otro despacho.
- Autenticación: JWT con tokens de acceso de 15 minutos + refresh token httpOnly. Rate limiting en login (5 intentos / 15 minutos por IP).
- Auditoría: Log de actividad por usuario y acción para todas las operaciones sensibles.
- Backups: Copias de seguridad diarias automáticas de la base de datos.
- Actualizaciones: Parches de seguridad aplicados en un plazo máximo de 72 horas desde publicación crítica.
7. Subencargados actuales
| Subencargado | Servicio | País | Garantía RGPD |
|---|---|---|---|
| OpenAI, Inc. | Modelos de IA (chat, análisis, transcripción, SecretarIA) | EE.UU. | Cláusulas contractuales tipo (SCCs) |
| Google LLC | Google Drive (backup opcional, activado por el Despacho) | EE.UU./UE | Cláusulas contractuales tipo (SCCs) |
| [Proveedor hosting] | Infraestructura de servidores y base de datos | UE | Art. 45 RGPD |
El uso de los servicios de IA (OpenAI) es inherente a las funcionalidades de IA de la Plataforma. LexCloud ha suscrito el Acuerdo de Procesamiento de Datos de OpenAI, que incluye SCCs y garantiza que los datos no se usan para entrenar modelos salvo consentimiento explícito. El Despacho puede deshabilitar las funciones de IA desde el panel de configuración.
8. Transferencias internacionales
Las transferencias a EE.UU. (OpenAI, Google) se realizan bajo Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (Decisión de Ejecución (UE) 2021/914), que ofrecen garantías adecuadas conforme al art. 46.2.c RGPD.
9. Derechos de auditoría
El Responsable tiene derecho a realizar auditorías del cumplimiento del presente contrato, con previo aviso de 30 días y sin interrumpir la operación normal del servicio. LexCloud puede proponer una auditoría por un tercero independiente como alternativa.
10. Duración y finalización
Este contrato estará vigente mientras dure la suscripción del Despacho a LexCloud. A la finalización del contrato, LexCloud pondrá a disposición del Despacho sus datos durante 30 días para su exportación. Transcurrido ese plazo, los datos serán eliminados de forma permanente e irrecuperable, salvo que la ley exija su conservación por un período mayor.
11. Responsabilidad
El Despacho, como Responsable del Tratamiento, es el único responsable ante los interesados y las autoridades de control del correcto uso de la Plataforma conforme al RGPD. LexCloud solo responde por incumplimientos de sus propias obligaciones como Encargado.
12. Ley aplicable
Este contrato se rige por el Reglamento (UE) 2016/679 (RGPD), la Ley Orgánica 3/2018 (LOPDGDD) y la legislación española. Para cualquier controversia, las partes se someten a los Juzgados y Tribunales de [CIUDAD].
Nota sobre la aceptación electrónica
Conforme al artículo 23 de la LSSI-CE, la aceptación de este DPA mediante marcación de casilla durante el proceso de registro tiene plena validez jurídica como contrato electrónico. LexCloud conserva el registro de la aceptación (timestamp, dirección IP) como prueba de la misma.