Contrato de encargado del tratamiento #
Fecha de entrada en vigor: 22 de abril de 2026
Este contrato de encargado del tratamiento («DPA») forma parte del acuerdo entre el cliente («Responsable del tratamiento») y EthicsPortal («Encargado del tratamiento») para la prestación de la plataforma de denuncias EthicsPortal («Servicio»).
¿Necesita una copia firmada? Contacte con legal@ethicsportal.eu para solicitar una versión en PDF firmada de este DPA para sus archivos.
1. Partes #
Responsable del tratamiento: la organización que se suscribe a EthicsPortal y determina los fines y medios del tratamiento de los datos personales a través del Servicio.
Encargado del tratamiento: EthicsPortal, operado por Yaroslav Shmarov, registrado en ul. Obrzeżna 1A, 02-691 Varsovia, Polonia. Contacto: legal@ethicsportal.eu .
2. Alcance y finalidad del tratamiento #
El Encargado del tratamiento trata los datos personales por cuenta del Responsable del tratamiento únicamente para prestar el Servicio, lo que incluye:
- Recibir y almacenar comunicaciones de informantes
- Permitir la comunicación segura entre informantes y gestores del caso
- Gestionar los flujos de trabajo de los casos (asignación, seguimiento del estado, resolución)
- Generar registros de auditoría y registros de cumplimiento
- Enviar notificaciones por correo electrónico transaccional a los gestores del caso y a los administradores de la organización
- Procesar los pagos del Servicio
El Encargado del tratamiento no trata datos personales para ninguna finalidad distinta de la prestación del Servicio según las instrucciones del Responsable del tratamiento.
3. Tipos de datos personales tratados #
| Categoría de datos | Ejemplos | Cifrado en reposo |
|---|---|---|
| Identidad del informante (opcional) | Nombre, dirección de correo electrónico, número de teléfono | Sí (no determinista) |
| Contenido de la comunicación | Descripción de la inquietud comunicada | Sí (no determinista) |
| Contenido de las comunicaciones | Mensajes entre el informante y el gestor del caso | Sí (no determinista) |
| Archivos adjuntos | Documentos, imágenes, audio, vídeo subidos por los informantes | Almacenados con los metadatos eliminados |
| Códigos de acceso | Códigos únicos usados por los informantes para acceder a sus comunicaciones | Sí |
| Datos de gestores y administradores | Nombre, dirección de correo electrónico, rol, pertenencia a la organización | No (datos operativos) |
| Entradas del registro de auditoría | Marcas de tiempo, identidad del actor, tipo de acción | No (registros críticos para la integridad) |
| Datos técnicos | Direcciones IP con hash unidireccional (no reversible) solo para la limitación de tasa | No aplicable (hash, no datos personales) |
4. Categorías de interesados #
- Informantes / denunciantes: personas que presentan comunicaciones a través del portal (pueden ser anónimas)
- Gestores del caso: personas designadas por el Responsable del tratamiento para recibir y gestionar las comunicaciones
- Administradores de la organización: personas que gestionan la cuenta y la configuración de EthicsPortal del Responsable del tratamiento
5. Duración del tratamiento #
El Encargado del tratamiento trata los datos personales durante la vigencia de la suscripción del Responsable del tratamiento al Servicio. Tras la terminación:
- El Responsable del tratamiento puede exportar sus datos antes de que finalice la suscripción.
- Los datos de las comunicaciones se conservan conforme al período de conservación configurado por el Responsable del tratamiento (12, 24, 36, 48 o 60 meses tras el cierre de la comunicación) y después se suprimen de forma permanente. Una comunicación sin actividad durante 18 meses se cierra automáticamente para que comience el período de conservación.
- A petición por escrito, el Encargado del tratamiento suprimirá todos los datos restantes del Responsable del tratamiento en un plazo de 30 días desde la terminación de la suscripción, salvo que la ley aplicable exija su conservación.
6. Obligaciones del Encargado del tratamiento #
6.1 Instrucciones de tratamiento #
El Encargado del tratamiento trata los datos personales únicamente según las instrucciones documentadas del Responsable del tratamiento, salvo que el Derecho de la UE o de un Estado miembro le obliguen a hacerlo. Si surge tal requisito legal, el Encargado del tratamiento informará al Responsable del tratamiento antes del tratamiento, salvo que la ley prohíba dicha notificación.
6.2 Confidencialidad #
Todas las personas autorizadas para tratar datos personales se han comprometido a la confidencialidad o están sujetas a una obligación legal de confidencialidad adecuada.
6.3 Medidas de seguridad #
El Encargado del tratamiento implementa y mantiene las medidas técnicas y organizativas descritas en la página de Seguridad , entre ellas:
- Cifrado no determinista en reposo de todos los datos sensibles de las comunicaciones
- Sin almacenamiento de direcciones IP en bruto de los informantes en la base de datos (hash unidireccional solo para la limitación de tasa)
- Eliminación automática de metadatos de los archivos (EXIF, GPS, datos del autor)
- Control de acceso basado en roles con políticas de autorización de Pundit
- Registro de auditoría en modo solo anexión de todas las acciones
- Limitación de tasa en todos los puntos de acceso del portal público
- HTTPS/TLS para todas las conexiones
- Protección CSRF
Las vulnerabilidades de seguridad y las comunicaciones de incidentes pueden enviarse a security@ethicsportal.eu . Las consultas de los interesados y de estilo DPO pueden enviarse a privacy@ethicsportal.eu o dpo@ethicsportal.eu .
6.4 Subencargados del tratamiento #
El Encargado del tratamiento utiliza los subencargados del tratamiento enumerados en la Sección 8. El Encargado del tratamiento notificará al Responsable del tratamiento al menos 30 días antes de añadir o sustituir a un subencargado del tratamiento. El Responsable del tratamiento puede oponerse al cambio; si no se alcanza una solución, el Responsable del tratamiento puede resolver el contrato.
6.5 Derechos de los interesados #
El Encargado del tratamiento asiste al Responsable del tratamiento en la respuesta a las solicitudes de los interesados que ejerzan sus derechos conforme al RGPD (acceso, rectificación, supresión, limitación, portabilidad, oposición) proporcionando las capacidades técnicas necesarias dentro del Servicio.
6.6 Notificación de violaciones de la seguridad de los datos #
En caso de violación de la seguridad de los datos personales, el Encargado del tratamiento notificará al Responsable del tratamiento sin dilación indebida y, en todo caso, en un plazo de 72 horas desde que tenga conocimiento de la violación. La notificación incluirá:
- Una descripción de la naturaleza de la violación
- Las categorías y el número aproximado de interesados afectados
- Las consecuencias probables de la violación
- Las medidas adoptadas o propuestas para abordar la violación
6.7 Evaluaciones de impacto en la protección de datos #
El Encargado del tratamiento asiste al Responsable del tratamiento con las evaluaciones de impacto en la protección de datos y las consultas previas a las autoridades de control, en la medida en que las actividades de tratamiento del Encargado del tratamiento requieran dicha asistencia.
6.8 Supresión y devolución de los datos #
Tras la terminación del Servicio, el Encargado del tratamiento, a elección del Responsable del tratamiento:
- Devolverá todos los datos personales al Responsable del tratamiento en los formatos de exportación disponibles en el Servicio en el momento de la terminación, incluidas las exportaciones de expedientes en PDF y los archivos adjuntos asociados, o
- Suprimirá todos los datos personales y confirmará la supresión por escrito
salvo que el Derecho de la UE o de un Estado miembro exija su conservación continuada.
Si el Responsable del tratamiento requiere razonablemente un formato de portabilidad adicional para migración o revisión normativa, el Encargado del tratamiento evaluará la solicitud de buena fe y, cuando sea técnicamente viable, lo proporcionará mediante una solicitud independiente por escrito.
6.9 Derechos de auditoría #
El Encargado del tratamiento pone a disposición del Responsable del tratamiento toda la información necesaria para demostrar el cumplimiento de las obligaciones del artículo 28 del RGPD. El Responsable del tratamiento puede realizar auditorías, incluidas inspecciones, directamente o a través de un auditor mandatado, con sujeción a un preaviso razonable (al menos 30 días) y durante el horario laboral normal. El Encargado del tratamiento cooperará con dichas auditorías.
6.10 Sin procesamiento de IA o LLM del contenido de las comunicaciones #
El Encargado del tratamiento se compromete a que los datos personales tratados conforme a este DPA —incluidos el contenido de las comunicaciones, la identidad del informante, los mensajes de los gestores, los archivos adjuntos y las entradas del registro de auditoría— no se transmitan a ningún gran modelo de lenguaje, servicio de IA generativa o clasificador basado en IA, ya esté operado por el Encargado del tratamiento o por un tercero (incluidos, entre otros, OpenAI, Anthropic, Google y Mistral). El Servicio no realiza categorización, clasificación, resumen, traducción ni respuestas sugeridas impulsadas por IA sobre los datos personales. El Responsable del tratamiento puede basarse en este compromiso al evaluar las obligaciones en materia de decisiones automatizadas conforme al Art. 22 del RGPD y al delimitar la divulgación de subencargados del tratamiento en sus propios avisos de privacidad y evaluaciones de impacto en la protección de datos. Cualquier cambio en este compromiso constituiría un cambio material en el Servicio y se notificaría al Responsable del tratamiento conforme a la Sección 6.4 (Subencargados del tratamiento) y la Sección 11 (Duración y terminación).
La traducción automática estadística autoalojada que se ejecuta enteramente en infraestructura controlada por el Encargado del tratamiento (ningún dato sale de la infraestructura del Encargado del tratamiento, ninguna llamada de inferencia externa) no entra en el ámbito de esta restricción y puede utilizarse para traducir los mensajes del informante o del gestor cuando el Responsable del tratamiento lo haya habilitado.
Este compromiso se revisa anualmente. La fecha de «Última actualización» en la parte superior de este DPA refleja la reafirmación más reciente. Si el Encargado del tratamiento en algún momento pretende introducir procesamiento de IA o LLM de datos personales cubiertos por este DPA, el Encargado del tratamiento lo notificará al Responsable del tratamiento conforme a la Sección 6.4 y el cambio no surtirá efecto antes del plazo de preaviso allí indicado.
6.11 Claves de cifrado gestionadas por el cliente (BYOK) #
El Servicio no admite claves de cifrado gestionadas por el cliente, ya se describan como «aporte su propia clave» (BYOK), «conserve su propia clave» (HYOK) o integración con un servicio externo de gestión de claves (KMS). Se trata de una elección arquitectónica deliberada, no de una limitación operativa, y se fundamenta en dos garantías de confidencialidad y ciclo de vida que el Encargado del tratamiento ofrece en otras partes de este DPA:
- Frontera de claves informante-gestor. Los datos personales cubiertos por este DPA se cifran en reposo con claves gestionadas por el Encargado del tratamiento, conservadas dentro del Servicio. La frontera de cifrado que protege la identidad del informante y el contenido de la comunicación frente a terceros es la misma frontera que la protege frente a los propios administradores de TI del Responsable del tratamiento. Trasladar la custodia de las claves al Responsable del tratamiento reubicaría esa frontera en el entorno del Responsable del tratamiento, donde los administradores del lado del Responsable del tratamiento pasarían, en principio, a ser capaces de descifrar la identidad del informante, invirtiendo el modelo de confidencialidad exigido por el Art. 16 de la Directiva 2019/1937.
- Garantía de supresión de extremo a extremo. La supresión basada en la conservación (Art. 5(1)(e) del RGPD) y la supresión contractual en la terminación (Sección 6.8 anterior) se basan en la capacidad del Encargado del tratamiento de destruir, criptográfica y físicamente, los datos cifrados con clave de forma independiente del Responsable del tratamiento. Una clave en poder del Responsable del tratamiento crearía una categoría de fallo en la que el Encargado del tratamiento no podría, por sí solo, garantizar la supresión completa dentro de la ventana contractual.
El esquema de cifrado en reposo del Encargado del tratamiento, las propiedades de cifrado no determinista y el aislamiento de claves se documentan en la página de Seguridad . Un cambio en esta posición constituiría un cambio material en el Servicio y se notificaría al Responsable del tratamiento conforme a la Sección 6.4 (Subencargados del tratamiento) y la Sección 11 (Duración y terminación).
7. Obligaciones del Responsable del tratamiento #
El Responsable del tratamiento es responsable de:
- Garantizar una base jurídica para el tratamiento de datos personales a través del Servicio
- Facilitar los avisos de privacidad exigidos a los interesados (EthicsPortal muestra un aviso de privacidad en el formulario de presentación del portal)
- Configurar períodos de conservación de datos adecuados dentro del Servicio
- Designar a los gestores y administradores autorizados
- Responder a las solicitudes de los interesados, con la asistencia del Encargado del tratamiento descrita más arriba
8. Subencargados del tratamiento #
Los siguientes subencargados del tratamiento están autorizados a la fecha de entrada en vigor de este DPA:
| Subencargado del tratamiento | Finalidad | Ubicación | Salvaguardias |
|---|---|---|---|
| Hetzner Online GmbH | Alojamiento de la aplicación, base de datos y almacenamiento de archivos adjuntos | Núremberg, Alemania (UE) | Datos tratados enteramente dentro de la UE |
| Stripe Payments Europe, Ltd | Procesamiento de pagos | Irlanda (UE) | El Encargado del tratamiento no almacena credenciales de pago; Stripe cuenta con la certificación PCI DSS de nivel 1 |
| Mailjet (Sinch) | Envío de correo electrónico transaccional | Francia (UE) | Datos tratados enteramente dentro de la UE |
| Cloudflare, Inc. | CDN y entrega en el borde para el sitio web de presentación | Estados Unidos | Las transferencias, cuando hay datos personales implicados, se basan en las Cláusulas Contractuales Tipo y en salvaguardias complementarias |
| AppSignal B.V. | Seguimiento de errores y monitorización del rendimiento de la aplicación para las interfaces de administradores y gestores | Países Bajos (UE) | Datos tratados enteramente dentro de la UE; las direcciones IP de los informantes nunca se registran |
| Crisp IM SARL | Chat de gestores en la aplicación y soporte de verificación de identidad | Francia (UE) | Cargado únicamente en el portal de los gestores; no se carga en el sitio de presentación ni en las páginas dirigidas a los informantes |
La analítica de marketing (Cloudflare Web Analytics) está libre de cookies y no trata datos personales.
Sin subencargado del tratamiento de IA o LLM. Ningún gran modelo de lenguaje, servicio de IA generativa o clasificador basado en IA es subencargado del tratamiento del Encargado del tratamiento. Los datos personales tratados conforme a este DPA no se transmiten a OpenAI, Anthropic, Google, Mistral ni a ningún otro proveedor de inferencia de IA. Véase la Sección 6.10.
9. Transferencias internacionales de datos #
Los datos centrales de las comunicaciones, incluido el contenido de las comunicaciones y el almacenamiento de los archivos adjuntos, se alojan dentro de la Unión Europea (Hetzner, Alemania). El procesamiento de pagos se realiza dentro de la UE (Stripe), y el correo electrónico transaccional se entrega desde la UE (Mailjet, Francia).
Las solicitudes al sitio de presentación se encaminan a través de Cloudflare (CDN, Estados Unidos), que trata metadatos de red (direcciones IP de los visitantes y cabeceras de solicitud) para la entrega de contenido y la protección contra DDoS. No se comparten comunicaciones, datos de gestores ni datos de cuentas con Cloudflare. Las transferencias se basan en las Cláusulas Contractuales Tipo y en salvaguardias complementarias. El portal de denuncias y el portal de los gestores no cargan Cloudflare. AppSignal (Países Bajos) y Crisp (Francia) tienen su sede en la UE; Crisp se carga únicamente en el portal de los gestores.
10. Responsabilidad #
La responsabilidad de cada parte conforme a este DPA está sujeta a las limitaciones de responsabilidad establecidas en el acuerdo principal de servicio entre las partes. En la máxima medida permitida por la ley, las reclamaciones que se deriven de este DPA o se relacionen con él forman parte del mismo límite de responsabilidad agregado que se aplica al Servicio.
11. Duración y terminación #
Este DPA surte efecto cuando el Responsable del tratamiento comienza a utilizar el Servicio y permanece en vigor mientras el Encargado del tratamiento trate datos personales por cuenta del Responsable del tratamiento. Las obligaciones de este DPA sobreviven a la terminación en la medida necesaria para completar la supresión o devolución de los datos personales.
12. Ley aplicable #
Este DPA se rige por las leyes de la República de Polonia, sin atender a los principios de conflicto de leyes. Los tribunales competentes de Varsovia, Polonia, tienen jurisdicción exclusiva sobre las controversias que se deriven de este DPA.
Contacto #
Para preguntas sobre este DPA o para solicitar una copia firmada:
EthicsPortal Yaroslav Shmarov ul. Obrzeżna 1A, 02-691 Varsovia, Polonia legal@ethicsportal.eu
Última actualización: