Anexo de Encargo del Tratamiento

Este Anexo regula el tratamiento de datos personales realizado por SIMASC por cuenta del despacho o cliente profesional que utiliza la plataforma.

Responsable del tratamiento:
El despacho o cliente profesional que utiliza SIMASC

Encargado del tratamiento:
INSTITUTO ESPAÑOL DE MEDIACIÓN y M S.L.

El encargado tratará datos personales por cuenta del responsable para prestar servicios tecnológicos de gestión de expedientes, comunicaciones, documentación, pagos, citas, trazabilidad, soporte y funcionalidades relacionadas.

El tratamiento se mantendrá durante la vigencia de la relación contractual y, posteriormente, durante los plazos necesarios para devolución, conservación, bloqueo, cumplimiento legal o defensa frente a reclamaciones.

• Solicitantes.
• Destinatarios o partes invitadas.
• Mediadores.
• Representantes legales o profesionales.
• Usuarios del despacho.
• Personas de contacto.
• Pagadores o clientes finales.
• Otras personas incluidas en expedientes o documentos.

• Identificativos.
• Contacto.
• Profesionales.
• Datos de expediente.
• Documentos y comunicaciones.
• Datos de pago y facturación.
• Evidencias, certificados, estados y metadatos de comunicaciones certificadas.
• Datos técnicos, logs y registros de auditoría.

El encargado tratará los datos únicamente siguiendo instrucciones documentadas del responsable, incluyendo las instrucciones derivadas del uso funcional de la plataforma por usuarios autorizados del responsable.

El responsable garantiza que dispone de base jurídica suficiente para los tratamientos realizados mediante SIMASC.

• Tratar los datos únicamente para prestar el servicio contratado.
• Mantener confidencialidad sobre los datos tratados.
• Aplicar medidas técnicas y organizativas adecuadas.
• Asistir al responsable en la atención de derechos de los interesados cuando proceda.
• Asistir al responsable en la gestión de incidentes de seguridad cuando proceda.
• No comunicar datos a terceros salvo proveedores necesarios, obligación legal o instrucción del responsable.
• Mantener registros de trazabilidad y auditoría de acciones relevantes.
• Suprimir, devolver o bloquear los datos al finalizar la prestación, según proceda legal y contractualmente.

El responsable autoriza al encargado a contratar subencargados necesarios para prestar el servicio.

Subencargados previstos:

• Supabase: base de datos y almacenamiento.
• Vercel: hosting, despliegue y ejecución serverless.
• Clerk: autenticación y gestión de usuarios.
• SendGrid: email transaccional.
• Stripe: pagos, suscripciones y facturación.
• Codicert/MailCertificado: comunicaciones certificadas, burofax, contratos certificados, certificados y evidencias.
• Sentry: monitorización de errores y eventos técnicos.
• Proveedores de analítica o infraestructura auxiliar cuando proceda.

El encargado exigirá a los subencargados obligaciones de protección de datos equivalentes a las previstas en este Anexo.

Cuando el responsable active comunicaciones certificadas gestionadas, autoriza al encargado a utilizar proveedores externos especializados para enviar comunicaciones, consultar estados, descargar evidencias y conservar certificados o justificantes.

El responsable será quien determine destinatarios, contenido, finalidad, base jurídica y oportunidad de cada comunicación.

El encargado podrá custodiar credenciales técnicas o subusuarios asociados al responsable para operar dichos servicios, aplicando cifrado y controles de acceso.

• Control de acceso por usuario y organización.
• Segregación lógica de datos por organización.
• Cifrado de credenciales técnicas.
• Registro de eventos relevantes.
• Monitorización de errores e incidencias.
• Copias de seguridad o mecanismos de recuperación.
• Uso de comunicaciones seguras.
• Restricción de acceso interno según necesidad.
• Revisión de proveedores y dependencias críticas.

El encargado podrá conservar registros de auditoría relacionados con acciones de usuarios, procesos automáticos e integraciones, incluyendo acciones sobre expedientes, comunicaciones certificadas, credenciales técnicas, evidencias, pagos y configuración. Estos registros se conservarán para seguridad, soporte, cumplimiento contractual y defensa frente a reclamaciones.

En caso de incidente de seguridad que afecte a datos tratados por cuenta del responsable, el encargado notificará al responsable sin dilación indebida una vez tenga conocimiento suficiente del incidente, aportando la información disponible para que el responsable pueda cumplir sus obligaciones legales.

Cuando un subencargado implique transferencias internacionales, el encargado adoptará garantías adecuadas conforme al RGPD, como decisiones de adecuación, cláusulas contractuales tipo u otros mecanismos legalmente válidos.

Al finalizar la relación contractual, el encargado suprimirá, devolverá o bloqueará los datos personales conforme a las instrucciones del responsable y a las obligaciones legales o contractuales aplicables. Podrán conservarse datos mínimos, evidencias, registros de auditoría, facturación o logs cuando sean necesarios para cumplimiento legal, seguridad o defensa frente a reclamaciones.