Acuerdo de Tratamiento de Datos (DPA)
Arc OS — Plantilla conforme al Art. 28 del RGPD
Versión: 1.0
Fecha: 2026-05-28
Issue: #166
Estado: Plantilla — completar los marcadores antes de firmar
Cómo usarla: Sustituya todos los
[PLACEHOLDERS]por los valores reales. Ambas partes firman y fechan. Conserve una copia firmada en archivo. Revísela anualmente o cuando Arc OS actualice su lista de subencargados.
Acuerdo
El presente Acuerdo de Tratamiento de Datos ("DPA") se celebra entre:
Responsable del tratamiento (Cliente):
Razón social: [CUSTOMER LEGAL NAME]
Número de registro: [REG NUMBER]
Dirección: [REGISTERED ADDRESS]
Contacto (protección de datos): [DPO EMAIL OR RESPONSIBLE PERSON]
(el "Responsable")
Encargado del tratamiento:
Arc OS, operado por [ARC OS LEGAL ENTITY — pending registration]
Dirección: [REGISTERED ADDRESS — pending e-Residency / Diia.City]
Contacto: [email protected]
(el "Encargado")
Las partes han celebrado un Acuerdo Marco de Servicios ("MSA") / suscripción a arc-os.co con fecha [DATE OF MSA] (el "Acuerdo Principal"), en virtud del cual el Encargado presta servicios de gestión de plantilla de IA (los "Servicios").
Este DPA complementa y forma parte del Acuerdo Principal. En caso de conflicto entre este DPA y el Acuerdo Principal, prevalecerá este DPA en lo relativo a la protección de datos.
1. Definiciones
| Término | Significado |
|---|---|
| Datos Personales | Toda información sobre una persona física identificada o identificable, según el Art. 4(1) del RGPD |
| Tratamiento | Cualquier operación sobre Datos Personales, según el Art. 4(2) del RGPD |
| Interesado | Persona física cuyos Datos Personales son tratados |
| Subencargado | Tercero contratado por el Encargado para tratar Datos Personales por cuenta del Responsable |
| RGPD | Reglamento General de Protección de Datos de la UE 2016/679 |
| Cláusulas Contractuales Tipo (CCT/SCCs) | Decisión de la Comisión Europea 2021/914/UE |
2. Objeto y duración
2.1 El Encargado trata Datos Personales por cuenta del Responsable en relación con los Servicios descritos en el Acuerdo Principal.
2.2 Este DPA entra en vigor en la fecha del Acuerdo Principal y permanece vigente hasta la terminación del Acuerdo Principal o hasta que el DPA sea sustituido por una versión revisada firmada por ambas partes.
3. Naturaleza, finalidad y categorías del tratamiento
3.1 Naturaleza del tratamiento:
Recogida, almacenamiento, recuperación, transmisión y supresión de Datos Personales en relación con la operación de la plataforma de gestión de plantilla de IA Arc OS.
3.2 Finalidad:
Proporcionar al Responsable orquestación de agentes de IA, gestión de proyectos y sesiones de IA con contexto persistente, según lo descrito en el Acuerdo Principal.
3.3 Categorías de Datos Personales:
| Categoría | Ejemplos | ¿Obligatorio? |
|---|---|---|
| Identificadores de cuenta | Dirección de email, ID OAuth (Google/GitHub) | ✅ Obligatorio |
| Datos de autenticación | Contraseña hasheada (bcrypt), tokens JWT | ✅ Obligatorio |
| Datos de uso | Consumo de tokens de IA, duración de sesiones | ✅ Obligatorio |
| Registros de actividad | Eventos de proyecto, actividad de issues | ✅ Obligatorio |
| Contenido de chat | Mensajes de conversación con IA (cifrados en reposo) | ✅ Obligatorio |
| Eventos de autenticación | Marcas de tiempo de login, dirección IP, user agent | ✅ Obligatorio |
| Datos de usuarios finales aportados por el Responsable | Depende del caso de uso del Responsable | ⚠️ Responsabilidad del Responsable |
3.4 Categorías de Interesados:
Empleados, contratistas o usuarios del Responsable a quienes el Responsable concede acceso a Arc OS.
4. Obligaciones del Encargado
El Encargado deberá:
4.1 Tratar los Datos Personales únicamente siguiendo instrucciones documentadas del Responsable, incluso en lo relativo a transferencias de Datos Personales a un tercer país, salvo que lo exija el Derecho de la Unión o de un Estado miembro aplicable al Encargado (en cuyo caso, el Encargado informará al Responsable de esa exigencia legal antes del tratamiento, salvo que dicho Derecho lo prohíba por razones de interés público).
4.2 Garantizar que las personas autorizadas para tratar Datos Personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria adecuada.
4.3 Adoptar todas las medidas exigidas por el Art. 32 del RGPD (seguridad técnica y organizativa), incluyendo:
- Cifrado AES-256-GCM de los mensajes de chat en reposo
- Autenticación JWT HMAC-SHA256 con TTL de 24h
- E2EE de conocimiento cero vía WebCrypto PBKDF2 para campos sensibles
- TLS 1.2+ para todos los datos en tránsito
- Controles de acceso y barreras de autenticación en todos los endpoints de la API
- Copias de seguridad automáticas diarias con verificación de integridad
- Revisiones de seguridad anuales y pruebas de penetración
4.4 Respetar las condiciones para recurrir a Subencargados (véase la Sección 6).
4.5 Asistir al Responsable en el cumplimiento de las obligaciones del RGPD relativas a la seguridad (Art. 32), la notificación de violaciones (Arts. 33–34), las evaluaciones de impacto en la protección de datos (Arts. 35–36) y la consulta previa (Art. 36), teniendo en cuenta la naturaleza del tratamiento y la información de que disponga el Encargado.
4.6 A elección del Responsable, suprimir o devolver todos los Datos Personales al término de los Servicios, y suprimir las copias existentes, salvo que el Derecho de la Unión o de un Estado miembro exija su conservación.
4.7 Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento del Art. 28 del RGPD, y permitir y contribuir a las auditorías e inspecciones realizadas por el Responsable o por un auditor tercero mandatado por el Responsable (con preaviso razonable, no más de una vez al año, a costa del Responsable).
4.8 Notificar al Responsable sin dilación indebida tras tener conocimiento de una violación de la seguridad de los Datos Personales — dentro de las 72 horas en la medida de lo posible — a: [CONTROLLER DPO EMAIL].
5. Obligaciones del Responsable
El Responsable deberá:
5.1 Garantizar que dispone de una base jurídica (Art. 6 del RGPD) para el tratamiento de los Datos Personales transmitidos al Encargado.
5.2 Proporcionar al Encargado instrucciones claras y completas sobre el tratamiento de los Datos Personales.
5.3 Garantizar que los Interesados hayan sido informados del tratamiento de sus Datos Personales (o que sea aplicable otra base jurídica) antes de enviar sus datos a Arc OS.
5.4 No instruir al Encargado para tratar categorías especiales de datos (Art. 9 del RGPD) — datos de salud, datos biométricos, origen racial, etc. — sin acuerdo previo y explícito y sin las garantías adecuadas.
6. Subencargados
6.1 El Responsable otorga al Encargado una autorización general por escrito para recurrir a los subencargados enumerados en el Anexo B.
6.2 El Encargado notificará al Responsable cualquier cambio previsto en los subencargados (incorporaciones o sustituciones) por email a [CONTROLLER DPO EMAIL] con 14 días de antelación, dando al Responsable la oportunidad de oponerse.
6.3 El Encargado impondrá por contrato a todos los subencargados obligaciones de protección de datos equivalentes a las establecidas en este DPA.
6.4 El Encargado seguirá siendo plenamente responsable ante el Responsable del cumplimiento de las obligaciones de los subencargados.
7. Transferencias internacionales
7.1 Los Datos Personales se tratan en servidores situados en la Unión Europea (Contabo GmbH, Múnich, Alemania; Hetzner Online GmbH, Gunzenhausen, Alemania).
7.2 Cuando los subencargados traten datos fuera del EEE, el Encargado garantizará la existencia de garantías adecuadas, incluidas las Cláusulas Contractuales Tipo (CCT) conforme a la Decisión de la Comisión 2021/914/UE o decisiones de adecuación en virtud del Art. 45 del RGPD.
7.3 El Responsable autoriza las transferencias internacionales de datos descritas en el Anexo B, sujetas a las garantías allí enumeradas.
8. Derechos de los Interesados
8.1 El Encargado asistirá al Responsable en la respuesta a las solicitudes de los Interesados (Arts. 15–22 del RGPD) — acceso, rectificación, supresión, limitación, portabilidad, oposición — mediante:
GET /api/auth/export— portabilidad de datos del Art. 20 del RGPD (limitada a 3/24h)DELETE /api/auth/account— derecho de supresión del Art. 17 del RGPD (en cascada sobre 15+ tablas)
8.2 El Encargado no responderá directamente a las solicitudes de los Interesados en nombre del Responsable sin autorización previa, salvo para acusar recibo y redirigirlas al Responsable.
9. Responsabilidad e indemnización
9.1 Cada parte responderá de los daños causados por un tratamiento que infrinja el RGPD, de conformidad con el Art. 82 del RGPD.
9.2 El Encargado quedará exento de responsabilidad si demuestra que no es en modo alguno responsable del hecho que haya causado el daño.
9.3 La responsabilidad total del Encargado bajo este DPA queda limitada a los importes pagados por el Responsable en virtud del Acuerdo Principal durante los 12 meses anteriores al hecho que origine la reclamación.
10. Ley aplicable y jurisdicción
Este DPA se rige por las leyes de [GOVERNING LAW — e.g. EU / EE / DE]. Las controversias se resolverán en [JURISDICTION].
Firmas
| Responsable | Encargado | |
|---|---|---|
| Nombre | [AUTHORISED SIGNATORY] |
[ARC OS REPRESENTATIVE] |
| Cargo | [TITLE] |
[TITLE] |
| Fecha | [DATE] |
[DATE] |
| Firma | _________________ | _________________ |
Anexo A — Resumen de los detalles del tratamiento
| Campo | Valor |
|---|---|
| Objeto | Plataforma de gestión de plantilla de IA |
| Duración | Duración del Acuerdo Principal |
| Naturaleza | Recogida, almacenamiento, recuperación, supresión |
| Finalidad | Orquestación de agentes de IA, contexto de proyecto persistente |
| Tipos de datos | Cuenta, autenticación, uso, actividad, chat (cifrado) |
| Interesados | Empleados / usuarios finales del Responsable |
Anexo B — Subencargados autorizados
| Subencargado | Finalidad | Ubicación | Garantía |
|---|---|---|---|
| Contabo GmbH | Alojamiento del servidor principal (API, BD) | Múnich, DE 🇩🇪 | Con sede en la UE, sin transferencia |
| Hetzner Online GmbH | Alojamiento de contenedores cloud (Starter Cloud) | Núremberg, DE 🇩🇪 | Con sede en la UE, sin transferencia |
| Cloudflare, Inc. | CDN, protección DDoS, DNS | EE. UU. 🇺🇸 | CCT (2021/914/UE) |
| Resend, Inc. | Email transaccional (autenticación, invitaciones) | EE. UU. 🇺🇸 | CCT |
| Anthropic, PBC | Inferencia de modelos de IA (Claude API — solo créditos de prueba) | EE. UU. 🇺🇸 | CCT + DPA con Anthropic |
| Backblaze, Inc. | Almacenamiento externo de copias de seguridad de la BD | EE. UU. 🇺🇸 | CCT |
Nota: El Cliente aporta su propia clave API de Anthropic (Claude Pro). En ese caso, Anthropic es subencargado del Cliente, no de Arc OS.
Anexo C — Medidas técnicas y organizativas (TOMs)
| Medida | Implementación |
|---|---|
| Cifrado en reposo | AES-256-GCM para mensajes de chat y secretos del vault |
| Cifrado en tránsito | TLS 1.2+ forzado vía nginx; HSTS habilitado |
| E2EE | WebCrypto PBKDF2 (100k iteraciones) → clave maestra AES-256-GCM en sessionStorage |
| Autenticación | JWT HMAC-SHA256 (TTL 24h), hash de contraseñas con bcrypt |
| Control de acceso | Barrera canAccessProject() por proyecto en cada ruta de la API |
| Seguridad de la API | Headers CSP, X-Frame-Options: DENY, nosniff, Permissions-Policy |
| Red interna | El servidor API se enlaza solo a 127.0.0.1; nginx hace de proxy |
| Copias de seguridad | Backups automáticos diarios; verificación de integridad (PRAGMA integrity_check); subida externa |
| Detección de violaciones | Registro de eventos de autenticación; fail2ban en SSH; alertas de anomalías planificadas (#223) |
| Supresión de datos | Borrado en cascada del Art. 17 del RGPD sobre 15+ tablas; cron de retención de datos |
| Registro de auditoría | Tablas inmutables activity_log + platform_audit_log |
| Pruebas de penetración | Objetivo de revisión anual; sprint Sentinel de Phase 53 completado 2026-05 |
| Acceso a producción | Solo clave SSH; sin autenticación por contraseña; MFA en GitHub |