Skip links
Sign in
Try it

CONTRATO DE ENCARGO DE TRATAMIENTO DE DATOS

Plataforma SimpliAutomatic

Versión 2.0 — Vigente desde el 1 de enero de 2026

PARTES

Por una parte,

La persona física o jurídica que acepta este Acuerdo al contratar los servicios de la plataforma SimpliAutomatic, ya sea mediante aceptación electrónica en el proceso de contratación o firma del Contrato de Prestación de Servicios, con los datos de identificación y domicilio que consten en su cuenta de la Plataforma ("el Responsable" o "el Cliente").

Por otra parte,

CIIGMA TECHNOLOGIES SL, con domicilio social en Calle Ruiz 14, Planta 2, Puerta Izq, 28004 Madrid, España, identificada con CIF B26584524, en su condición de Encargado del Tratamiento de los datos personales (en adelante, el "ENCARGADO").

Conjuntamente denominadas "las Partes".

CONSIDERANDOS

A. Que el RESPONSABLE utiliza la plataforma SimpliAutomatic (www.simpliautomatic.com) para la gestión de relaciones con clientes (CRM), automatización de marketing, comunicaciones, análisis de datos y funcionalidades de inteligencia artificial.

B. Que el ENCARGADO pone a disposición del RESPONSABLE la plataforma SimpliAutomatic, que opera sobre infraestructura y software de terceros, y utiliza proveedores adicionales para automatización, inteligencia artificial, comunicaciones y alojamiento, conforme a lo detallado en la Cláusula 5 y el Anexo III del presente Acuerdo.

C. Que ambas Partes desean regular su relación respecto al tratamiento de datos personales de conformidad con el Reglamento (UE) 2016/679 (RGPD), la Ley Orgánica 3/2018 (LOPDGDD) y demás normativa aplicable.

D. Que a tal fin suscriben el presente Contrato de Encargo de Tratamiento.

CLÁUSULA 1. DEFINICIONES

  • Contrato Principal: el contrato, propuesta, orden de servicio, términos comerciales, condiciones de contratación o acuerdo de prestación de servicios suscrito entre el RESPONSABLE y el ENCARGADO para el uso de SimpliAutomatic y/o servicios relacionados.

  • Responsable del Tratamiento: la persona física o jurídica que, sola o conjuntamente con otros, determina los fines y medios del tratamiento de datos personales.

  • Encargado del Tratamiento: la persona física o jurídica que trata datos personales por cuenta del Responsable del Tratamiento.

  • Subencargado: cualquier persona física o jurídica, distinta del personal del Encargado, que trate datos personales por cuenta del Encargado del Tratamiento.

  • Datos Personales: toda información sobre una persona física identificada o identificable.

  • Interesado: la persona física a quien se refieren los datos personales.

  • Tratamiento: cualquier operación realizada sobre datos personales, tal como la recogida, registro, organización, estructuración, conservación, adaptación, modificación, extracción, consulta, utilización, comunicación, difusión, cotejo, interconexión, limitación, supresión o destrucción.

  • Violación de seguridad de los datos personales (brecha de seguridad): toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

  • RGPD: Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.

  • LOPDGDD: Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales.

  • Cláusulas Contractuales Tipo (CCT): las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea para la transferencia de datos personales a terceros países conforme al artículo 46.2.c) del RGPD.

  • AEPD: Agencia Española de Protección de Datos.

  • Evaluación de Impacto relativa a la Protección de Datos (EIPD): la evaluación prevista en el artículo 35 del RGPD.

CLÁUSULA 2. OBJETO, FINALIDAD Y ALCANCE DEL TRATAMIENTO

2.1 Objeto. El presente Acuerdo tiene por objeto regular las condiciones del tratamiento de datos personales que el ENCARGADO realiza por cuenta del RESPONSABLE en el marco de la prestación de servicios a través de la plataforma SimpliAutomatic, conforme al Contrato Principal.

2.2 Finalidad del tratamiento. El tratamiento de datos personales se realizará exclusivamente para la prestación de los servicios contratados, que incluyen: gestión de relaciones con clientes (CRM), automatización de marketing, gestión de comunicaciones multicanal (email, SMS, WhatsApp, llamadas, redes sociales, comentarios, formularios, mensajería directa y otros canales conectados por el RESPONSABLE), creación de embudos y sitios web, chatbots y asistentes virtuales impulsados por IA, gestión de citas, analítica y reporting, y cualesquiera otras funcionalidades de la plataforma utilizadas por el RESPONSABLE.

2.3 Tipos de datos personales.

  • Datos de contacto: nombres, apellidos, direcciones de correo electrónico, números de teléfono, direcciones postales.

  • Datos de comunicación: contenido de mensajes de correo electrónico, SMS, WhatsApp, historial de conversaciones, registros de llamadas y, cuando la funcionalidad esté activada por el RESPONSABLE, grabaciones o transcripciones de llamadas.

  • Datos de comportamiento y analítica: interacción con la plataforma, visitas web cuando estén conectadas, aperturas y clics de campañas, respuestas, etiquetas, embudos, estado de oportunidades y métricas de engagement.

  • Preferencias de marketing: preferencias de comunicación, temas de interés, historial de campañas, estado de consentimiento.

  • Datos de interacción con IA: registros de conversaciones con chatbots, consultas realizadas, clasificaciones, resúmenes, análisis de sentimiento e inferencias generadas por la plataforma.

  • Metadatos técnicos y de uso: direcciones IP, identificadores de usuario, marcas temporales, registros de acceso, identificadores de dispositivo o navegador, datos de entrega de mensajes, eventos técnicos, logs y datos necesarios para seguridad, trazabilidad, soporte y funcionamiento de la plataforma.

2.4 Categorías de interesados.

  • Clientes y prospectos del RESPONSABLE

  • Proveedores y colaboradores del RESPONSABLE

  • Empleados del RESPONSABLE, cuando proceda

  • Visitantes de sitios web o usuarios de aplicaciones del RESPONSABLE

  • Suscriptores a boletines o comunicaciones del RESPONSABLE

  • Usuarios autorizados, administradores y personal del RESPONSABLE que accedan a la plataforma

2.5 Categorías especiales de datos. El RESPONSABLE no introducirá en la plataforma categorías especiales de datos personales conforme al artículo 9 del RGPD, ni datos relativos a condenas e infracciones penales conforme al artículo 10 del RGPD, salvo que dicha carga sea necesaria para el servicio contratado, esté amparada por una base jurídica válida y haya sido comunicada previamente al ENCARGADO mediante instrucciones documentadas. En tal caso, las Partes podrán acordar medidas adicionales razonables.

2.6 Inferencias y datos derivados. Las inferencias, clasificaciones, puntuaciones, etiquetas, resúmenes o análisis generados por la plataforma se tratarán únicamente para las finalidades configuradas por el RESPONSABLE, como atención al cliente, seguimiento comercial, priorización de leads o automatización de flujos.

CLÁUSULA 3. OBLIGACIONES Y RESPONSABILIDADES DEL RESPONSABLE

3.1 Base jurídica. El RESPONSABLE declara y garantiza que cuenta con una base jurídica válida para la recogida, comunicación y tratamiento de los datos personales que introduzca, cargue, conecte o trate mediante la plataforma, incluyendo, cuando corresponda, el consentimiento del interesado, la ejecución de un contrato, el interés legítimo u otra base jurídica aplicable.

3.2 Información a los interesados. El RESPONSABLE será responsable de facilitar a los interesados la información exigida por los artículos 13 y 14 del RGPD y de mantener las evidencias necesarias.

3.3 Exactitud y pertinencia. El RESPONSABLE será responsable de la exactitud, calidad, licitud, pertinencia, proporcionalidad y actualización de los datos personales introducidos en la plataforma, así como de las instrucciones dadas al ENCARGADO.

3.4 Minimización. El RESPONSABLE se compromete a no introducir en la plataforma datos personales excesivos, innecesarios o no pertinentes para las finalidades del servicio contratado.

3.5 Comunicaciones comerciales. El RESPONSABLE será el único responsable de asegurar que las comunicaciones comerciales, campañas de marketing, mensajes automatizados, emails, SMS, WhatsApp, llamadas u otras comunicaciones enviadas mediante la plataforma cumplen con la normativa aplicable, incluyendo la LSSI-CE, normativa de consumidores, requisitos de consentimiento, mecanismos de baja, listas de exclusión y demás obligaciones aplicables.

3.6 Transparencia sobre sistemas automatizados. El RESPONSABLE será responsable de informar a los interesados, cuando proceda, de que pueden estar interactuando con sistemas automatizados o de inteligencia artificial, especialmente en canales de atención al cliente, chatbots, respuestas automatizadas o flujos conversacionales. El ENCARGADO asistirá razonablemente al RESPONSABLE en la configuración de mensajes de aviso o divulgación cuando sea técnicamente posible.

3.7 Decisiones automatizadas. Salvo configuración expresa e instrucciones documentadas del RESPONSABLE, las funcionalidades de automatización e inteligencia artificial de la plataforma no deberán utilizarse para adoptar decisiones basadas únicamente en tratamiento automatizado que produzcan efectos jurídicos sobre los interesados o les afecten significativamente de modo similar.

CLÁUSULA 4. OBLIGACIONES DEL ENCARGADO DEL TRATAMIENTO

4.1 Tratamiento conforme a instrucciones. El ENCARGADO tratará los datos personales únicamente de conformidad con las instrucciones documentadas del RESPONSABLE y solo para los fines especificados en el presente Acuerdo. El ENCARGADO no determinará los fines del tratamiento de los datos personales del RESPONSABLE. La configuración técnica, automatizaciones, flujos, integraciones, agentes conversacionales e inteligencia artificial se realizarán conforme a las instrucciones documentadas del RESPONSABLE y para la prestación de los servicios contratados.

Se considerarán instrucciones documentadas del RESPONSABLE: el Contrato Principal, el presente Acuerdo, las configuraciones realizadas por el RESPONSABLE o por el ENCARGADO a solicitud del RESPONSABLE, las instrucciones escritas enviadas por correo electrónico, sistema de soporte u otro canal documentado, y el uso que el RESPONSABLE haga de las funcionalidades de la plataforma.

4.2 No uso para fines propios. El ENCARGADO no tratará los datos personales del RESPONSABLE para finalidades propias, publicidad propia, venta de datos, enriquecimiento independiente de bases de datos o entrenamiento de modelos propios, salvo obligación legal o autorización expresa del RESPONSABLE. El ENCARGADO podrá tratar datos agregados, desidentificados o estadísticos que no constituyan datos personales conforme al RGPD para mejorar la seguridad, rendimiento y funcionalidad del servicio.

4.3 Confidencialidad. El ENCARGADO garantiza que el personal autorizado para acceder a los datos personales se ha comprometido por escrito a mantener la confidencialidad o está sujeto a una obligación legal de confidencialidad. El acceso a los datos personales se restringirá únicamente al personal del ENCARGADO que tenga una necesidad justificada para acceder a tales datos en el desempeño de sus funciones.

4.4 Medidas técnicas y organizativas. El ENCARGADO implementará las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad acorde con los riesgos del tratamiento, conforme a lo descrito en el Anexo II del presente Acuerdo.

4.5 Derechos de los interesados. El ENCARGADO asistirá al RESPONSABLE en el cumplimiento de las obligaciones relativas a los derechos de los interesados conforme a los artículos 15 a 22 del RGPD. El ENCARGADO responderá a las solicitudes razonables de asistencia del RESPONSABLE en materia de derechos de los interesados en un plazo de diez (10) días hábiles, salvo que por la complejidad de la solicitud se requiera un plazo superior, en cuyo caso informará al RESPONSABLE.

4.6 Evaluación de impacto. El ENCARGADO asistirá al RESPONSABLE en la realización de evaluaciones de impacto relativas a la protección de datos (EIPD), proporcionando toda la información razonablemente necesaria relativa a los tratamientos realizados mediante la plataforma.

4.7 Notificación de violaciones de seguridad. El ENCARGADO notificará al RESPONSABLE sin demora injustificada, y en ningún caso más tarde de setenta y dos (72) horas después de tener conocimiento de una violación de seguridad de los datos personales que afecte a los datos tratados por cuenta del RESPONSABLE. La notificación incluirá: (a) descripción de la violación; (b) tipos y categorías de datos personales afectados; (c) número estimado de interesados afectados; (d) posibles consecuencias; (e) medidas adoptadas o propuestas; y (f) datos de contacto del punto de contacto de privacidad del ENCARGADO.

4.8 Supresión o devolución de datos. Tras la terminación del servicio, el ENCARGADO, a elección del RESPONSABLE, suprimirá o devolverá los datos personales en un plazo máximo de sesenta (60) días naturales desde la terminación, salvo que el Contrato Principal establezca un plazo diferente. El ENCARGADO no conservará copias activas de los datos personales, salvo cuando sea necesario por obligación legal, defensa de reclamaciones, seguridad, prevención de fraude o retención técnica en copias de seguridad conforme a los ciclos ordinarios de backup. La supresión de datos personales en copias de seguridad podrá producirse conforme a los ciclos ordinarios de retención y sobrescritura de backups de la plataforma y subencargados, siempre que dichos datos queden protegidos frente a tratamiento activo y solo se restauren cuando sea necesario por motivos de seguridad, continuidad o cumplimiento legal.

4.9 Disponibilidad de información y auditoría. El ENCARGADO pondrá a disposición del RESPONSABLE toda la información razonablemente necesaria para demostrar el cumplimiento de sus obligaciones. El RESPONSABLE podrá solicitar información incluyendo cuestionarios de seguridad, documentación de cumplimiento, certificaciones o informes de terceros disponibles. Las auditorías presenciales o técnicas estarán limitadas a una vez por año, salvo violación de seguridad de los datos personales o exigencia legal, deberán notificarse con al menos treinta (30) días de antelación, realizarse durante horario laboral, no comprometer la seguridad ni confidencialidad de otros clientes, y correrán a cargo del RESPONSABLE salvo incumplimiento material confirmado del ENCARGADO.

4.10 Solicitudes de autoridades. Salvo que esté legalmente prohibido, el ENCARGADO informará al RESPONSABLE de cualquier solicitud vinculante de acceso a datos personales realizada por una autoridad pública que afecte a los datos personales del RESPONSABLE. Cuando sea legalmente posible y razonable, el ENCARGADO evaluará la validez de la solicitud y limitará la comunicación de datos al mínimo necesario.

CLÁUSULA 5. PLATAFORMA SUBYACENTE Y HERRAMIENTAS TÉCNICAS

5.1 Plataforma subyacente.El RESPONSABLE reconoce que los servicios de SimpliAutomatic se prestan utilizando infraestructura, software y funcionalidades de terceros, incluyendo HighLevel, Inc. / HighLevel (según la entidad contractual aplicable) como plataforma CRM subyacente y subencargado autorizado. Determinadas medidas técnicas y organizativas, incluyendo alojamiento, cifrado, copias de seguridad, controles de acceso, registros de actividad, disponibilidad y seguridad de la plataforma, son implementadas directamente por HighLevel y/o sus proveedores de infraestructura. El ENCARGADO seguirá siendo responsable frente al RESPONSABLE del cumplimiento de sus obligaciones propias conforme al presente Acuerdo, incluyendo la configuración del servicio, soporte, gestión de accesos de su personal autorizado, integraciones, automatizaciones, supervisión contractual de subencargados directos y comunicación con el RESPONSABLE.

5.2 Cadena de subencargados de la plataforma subyacente. El RESPONSABLE reconoce que HighLevel, como plataforma subyacente y subencargado autorizado, podrá recurrir a sus propios subencargados conforme a su acuerdo de tratamiento de datos y a su lista de subprocesadores vigente. El ENCARGADO se basa en el acuerdo de tratamiento de datos suscrito con HighLevel, conforme al cual HighLevel debe imponer a sus subprocesadores obligaciones de protección de datos consistentes o sustancialmente equivalentes a las asumidas por HighLevel, y sigue siendo responsable frente al ENCARGADO por los actos y omisiones de dichos subprocesadores conforme a su propio DPA.

5.3 Herramientas de automatización, webhooks y agentes externos. El RESPONSABLE reconoce que determinadas funcionalidades de la plataforma pueden requerir el tratamiento de datos personales mediante webhooks, integraciones API, herramientas de automatización, scripts, agentes conversacionales y proveedores de inteligencia artificial configurados por el ENCARGADO para la prestación del servicio. Dichas herramientas podrán incluir, entre otras, sistemas de automatización alojados o gestionados por el ENCARGADO, plataformas de agentes conversacionales, proveedores de infraestructura y proveedores de modelos de IA. Cuando dichas herramientas impliquen el acceso o tratamiento de datos personales por terceros, dichos terceros serán considerados subencargados y estarán sujetos al régimen previsto en el presente Acuerdo.

5.4 Instancias autoalojadas y proveedores de infraestructura. Cuando el ENCARGADO utilice herramientas autoalojadas o instancias gestionadas por el ENCARGADO, como sistemas de automatización o procesamiento intermedio, dichas herramientas se considerarán parte del entorno técnico del ENCARGADO. Cuando dichas herramientas estén alojadas, gestionadas o soportadas por proveedores externos de infraestructura, dichos proveedores externos podrán actuar como subencargados en la medida en que traten datos personales o puedan acceder a ellos para prestar sus servicios.

5.5 Tratamiento mediante sistemas de inteligencia artificial. Cuando el RESPONSABLE habilite funcionalidades de inteligencia artificial, el ENCARGADO podrá tratar datos personales, contenido de conversaciones, instrucciones y metadatos necesarios mediante proveedores de IA autorizados, exclusivamente para generar respuestas, clasificar consultas, resumir conversaciones, analizar mensajes, asistir en la atención al cliente, automatizar flujos o prestar las funcionalidades contratadas. El ENCARGADO no utilizará los datos personales del RESPONSABLE para entrenar modelos propios salvo instrucción o autorización expresa y documentada del RESPONSABLE.

5.6 Configuración de proveedores de IA. El ENCARGADO procurará configurar los proveedores de IA autorizados, cuando sea posible bajo los términos comerciales aplicables, para que los datos personales del RESPONSABLE no sean utilizados para entrenar modelos de propósito general, salvo autorización expresa del RESPONSABLE. El tratamiento por dichos proveedores estará sujeto a sus términos comerciales, acuerdos de tratamiento de datos y mecanismos de transferencia aplicables.

5.7 Integraciones de terceros del RESPONSABLE. Las integraciones de terceros activadas directamente por el RESPONSABLE o utilizadas bajo cuentas, credenciales o contratos propios del RESPONSABLE no se considerarán subencargados del ENCARGADO, salvo que el ENCARGADO las contrate y gestione directamente para prestar los servicios. Cuando dichas integraciones impliquen comunicación de datos a terceros independientes, el RESPONSABLE será responsable de evaluar y aceptar sus términos, políticas y condiciones de tratamiento.

CLÁUSULA 6. SUBENCARGADOS DEL TRATAMIENTO

6.1 Autorización general. El RESPONSABLE concede al ENCARGADO una autorización general para recurrir a subencargados necesarios para la prestación de los servicios, incluidos los identificados en el Anexo III. El ENCARGADO informará al RESPONSABLE de cualquier incorporación o sustitución relevante de subencargados con al menos treinta (30) días de antelación, otorgando al RESPONSABLE la posibilidad de oponerse de forma razonada por motivos relacionados con la protección de datos.

La notificación podrá realizarse por correo electrónico, aviso dentro de la plataforma, actualización de la lista de subencargados disponible en una URL designada por el ENCARGADO, o cualquier otro medio documentado.

En casos de urgencia por motivos de seguridad, continuidad del servicio, cumplimiento legal o sustitución equivalente que no reduzca sustancialmente el nivel de protección, el ENCARGADO podrá realizar el cambio con un preaviso menor, informando al RESPONSABLE tan pronto como sea razonablemente posible.

6.2 Derecho de oposición. Si el RESPONSABLE se opone de forma razonada a un nuevo subencargado, las Partes intentarán de buena fe encontrar una solución razonable. Si no fuera posible y el subencargado resultara necesario para la prestación del servicio, cualquiera de las Partes podrá resolver la parte afectada del servicio, sin penalización, sin perjuicio de las cantidades devengadas hasta la fecha de terminación.

6.3 Obligaciones de los subencargados. El ENCARGADO impondrá a sus subencargados directos obligaciones de protección de datos que proporcionen un nivel de protección equivalente al establecido en el presente Acuerdo. El ENCARGADO será plenamente responsable frente al RESPONSABLE por los actos y omisiones de sus subencargados directos.

CLÁUSULA 7. TRANSFERENCIAS INTERNACIONALES DE DATOS

7.1 Mecanismo de transferencia. Cuando el ENCARGADO transfiera datos personales a subencargados ubicados fuera del Espacio Económico Europeo o en países que no cuenten con una decisión de adecuación aplicable, dicha transferencia se realizará mediante un mecanismo válido conforme al RGPD, incluyendo, cuando corresponda, las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea, en el módulo aplicable según la relación entre las partes: Módulo 2 (responsable a encargado) cuando el RESPONSABLE se encuentre fuera del EEE, o Módulo 3 (encargado a subencargado) para las transferencias del ENCARGADO a sus subencargados, el Marco de Privacidad de Datos UE-EE.UU. (DPF) u otro mecanismo válido de transferencia internacional conforme al RGPD, según corresponda y en función del subencargado aplicable.

7.2 Evaluación de transferencias. El ENCARGADO mantendrá, directamente o a través de sus subencargados, información razonable sobre los mecanismos de transferencia internacional aplicables. Cuando sea necesario, el ENCARGADO asistirá al RESPONSABLE, en la medida razonablemente posible y teniendo en cuenta la naturaleza del tratamiento, en la evaluación de las transferencias internacionales relacionadas con los servicios.

7.3 Medidas técnicas complementarias. El ENCARGADO implementará, directamente o a través de sus subencargados autorizados, medidas técnicas y organizativas complementarias cuando sea necesario para garantizar un nivel de protección adecuado, incluyendo cifrado de datos en tránsito y en reposo conforme a estándares de la industria.

CLÁUSULA 8. DERECHOS DE LOS INTERESADOS

8.1 Procedimiento. El RESPONSABLE será el punto de contacto para todas las solicitudes de ejercicio de derechos de los interesados. El ENCARGADO asistirá al RESPONSABLE mediante medidas técnicas y organizativas apropiadas para atender las solicitudes de: acceso (art. 15), rectificación (art. 16), supresión (art. 17), limitación del tratamiento (art. 18), portabilidad (art. 20), oposición (art. 21), y derechos relativos a decisiones automatizadas (art. 22).

8.2 Plazo de asistencia. El ENCARGADO responderá a las solicitudes razonables de asistencia del RESPONSABLE en un plazo de diez (10) días hábiles, salvo que por la complejidad de la solicitud se requiera un plazo superior, en cuyo caso informará al RESPONSABLE.

CLÁUSULA 9. CONFIDENCIALIDAD

9.1 Obligación de confidencialidad. El ENCARGADO garantiza que el personal autorizado para acceder a los datos personales ha sido debidamente instruido sobre las obligaciones de confidencialidad y seguridad, y ha suscrito los compromisos de confidencialidad correspondientes.

9.2 Restricción de acceso. El acceso a los datos personales se restringirá al personal del ENCARGADO que tenga una necesidad justificada, conforme al principio de mínimos privilegios.

CLÁUSULA 10. MEDIDAS DE SEGURIDAD

El ENCARGADO implementará las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad acorde con los riesgos del tratamiento, conforme a lo descrito en el Anexo II. Las medidas serán implementadas por el ENCARGADO directamente o a través de sus subencargados autorizados, incluyendo HighLevel, Inc. / HighLevel (según la entidad contractual aplicable) y sus proveedores de infraestructura, en la medida aplicable a los servicios contratados.

CLÁUSULA 11. DURACIÓN Y TERMINACIÓN

11.1 Duración. El presente Acuerdo permanecerá vigente mientras el ENCARGADO trate datos personales por cuenta del RESPONSABLE en el marco del Contrato Principal. No podrá terminarse separadamente mientras continúe dicho tratamiento, salvo que sea sustituido por otro acuerdo de encargo de tratamiento válido.

11.2 Obligaciones post-terminación. Tras la terminación, se aplicarán las obligaciones de supresión o devolución de datos establecidas en la Cláusula 4.8.

CLÁUSULA 12. RESPONSABILIDAD

12.1 Responsabilidad del Encargado. El ENCARGADO será responsable por los daños directos causados al RESPONSABLE en la medida en que deriven de un incumplimiento imputable al ENCARGADO de sus obligaciones específicas conforme al RGPD, la LOPDGDD o el presente Acuerdo. La responsabilidad del ENCARGADO quedará sujeta a los límites y exclusiones establecidos en el Contrato Principal, salvo en la medida en que la normativa aplicable no permita dicha limitación. Lo anterior se entiende sin perjuicio de la responsabilidad que a cada Parte le corresponda directamente frente a los interesados o autoridades competentes conforme al artículo 82 del RGPD.

12.2 Responsabilidad del Responsable. El RESPONSABLE será responsable ante los interesados y autoridades competentes por la licitud del tratamiento, la base jurídica, la información facilitada a los interesados, las campañas y comunicaciones realizadas, las instrucciones impartidas al ENCARGADO y la pertinencia de los datos personales tratados, salvo en aquello que corresponda legalmente al ENCARGADO.

12.3 Costes de asistencia extraordinaria. La asistencia ordinaria incluida en las funcionalidades de la plataforma estará comprendida en el servicio contratado. Las solicitudes extraordinarias, complejas o que requieran dedicación técnica, operativa o legal significativa podrán estar sujetas a costes razonables, previa comunicación al RESPONSABLE, salvo que la solicitud derive de un incumplimiento imputable al ENCARGADO.

CLÁUSULA 13. LEY APLICABLE Y JURISDICCIÓN

En caso de contradicción entre el presente Acuerdo y el Contrato Principal, prevalecerá el presente Acuerdo exclusivamente en lo relativo al tratamiento de datos personales. En todo lo demás, prevalecerá el Contrato Principal.

El presente Acuerdo se regirá por la legislación española, específicamente por el RGPD, la LOPDGDD y cualquier otra normativa de protección de datos aplicable. Cualquier controversia derivada del presente Acuerdo se someterá, con renuncia expresa a cualquier otro fuero que pudiera corresponderles y siempre que legalmente sea posible, a los juzgados y tribunales de Madrid, España.

ANEXO I

Campo Valor
Responsable del Tratamiento El Cliente
CIF Según datos de registro
Domicilio Según datos de registro
Encargado del Tratamiento CIIGMA TECHNOLOGIES SL
CIF B26584524
Domicilio Calle Ruiz 14, Planta 2, Puerta Izq, 28004 Madrid, España
Finalidad del tratamiento Prestación de servicios de CRM, automatización de marketing, comunicaciones, analítica e inteligencia artificial a través de la plataforma SimpliAutomatic
Tipos de datos Datos de contacto, comunicación, comportamiento, preferencias de marketing, interacción con IA y metadatos técnicos (detalle en Cláusula 2.3)
Categorías de interesados Clientes, prospectos, proveedores, empleados (cuando proceda), visitantes web, suscriptores (detalle en Cláusula 2.4)
Duración del tratamiento Mientras esté vigente el Contrato Principal
Contacto de privacidad del Encargado legal@ciigma.com
Contacto del Responsable Según perfil de la Plataforma

ANEXO II

Las medidas descritas a continuación serán implementadas por el ENCARGADO directamente o a través de sus subencargados autorizados, incluyendo HighLevel, Inc. / HighLevel (según la entidad contractual aplicable) y sus proveedores de infraestructura, en la medida aplicable a los servicios contratados y teniendo en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, alcance, contexto y fines del tratamiento, así como los riesgos para los derechos y libertades de los interesados.

1. Medidas técnicas de seguridad

  • Cifrado de datos en tránsito mediante TLS 1.2 o superior y cifrado en reposo conforme a estándares de la industria, directamente o a través de los subencargados autorizados.

  • Autenticación multifactor (MFA) para el acceso a sistemas administrativos del ENCARGADO y, cuando esté disponible, de la plataforma subyacente.

  • Sistemas de monitorización de seguridad y detección de amenazas implementados por el ENCARGADO y/o sus subencargados de infraestructura.

  • Controles de red, segmentación, protección perimetral y mecanismos de acceso seguro implementados directamente o por los subencargados de infraestructura, según corresponda.

  • Registros de actividad, monitorización y trazabilidad de accesos disponibles directamente o a través de la plataforma subyacente y subencargados autorizados, según corresponda.

  • Copias de seguridad automáticas conforme a las políticas de la plataforma subyacente y proveedores de infraestructura.

  • Gestión segura de claves y credenciales conforme a las prácticas estándar de la industria.

  • Evaluaciones de seguridad, revisión de vulnerabilidades y pruebas de seguridad realizadas directamente por el ENCARGADO o por sus subencargados de infraestructura, según corresponda y conforme al nivel de riesgo del servicio.

  • Parches de seguridad y actualizaciones de software realizadas conforme a los ciclos de mantenimiento del ENCARGADO y sus subencargados.

2. Medidas organizativas de seguridad

  • Políticas y procedimientos de control de acceso basados en el principio de mínimos privilegios.

  • Capacitación del personal en materia de protección de datos y seguridad de la información.

  • Acuerdos de confidencialidad suscritos por todo el personal con acceso a datos.

  • Procedimientos de incorporación y desvinculación segura del personal.

  • Política de contraseñas robustas.

  • Restricción del acceso a datos personales únicamente al personal autorizado.

  • Evaluación de riesgos de seguridad conforme al nivel de riesgo del servicio.

  • Plan de respuesta a incidentes y procedimientos de recuperación.

  • Documentación de procedimientos de tratamiento.

  • Contacto de privacidad designado.

  • Registro de actividades de tratamiento.

ANEXO III

ANEXO III

Los siguientes proveedores son contratados y gestionados directamente por el ENCARGADO para la prestación de los servicios de SimpliAutomatic.

Subencargado País/Región Servicio Datos tratados Mecanismo de transferencia
HighLevel, Inc. / HighLevel LLC EE.UU. Plataforma CRM subyacente, infraestructura, comunicaciones, automatización Todos los datos personales introducidos en la plataforma CCT / DPF / mecanismo válido aplicable
Elestio SAS Francia / UE, salvo configuración de otra región Proveedor de infraestructura para instancias autoalojadas de automatización Datos procesados mediante flujos de automatización y webhooks No aplica si el tratamiento permanece en el EEE; CCT / mecanismo válido si se usa región fuera del EEE
CloseBot EE.UU. Plataforma de agentes conversacionales y automatización conectada a HighLevel Mensajes, datos de contacto, contexto conversacional, instrucciones y resultados de IA CCT / DPF / mecanismo válido aplicable
OpenAI, L.L.C. EE.UU. Inferencia de IA, clasificación, generación de respuestas, análisis de conversaciones Contenido de mensajes, instrucciones, metadatos mínimos CCT / DPF / mecanismo válido aplicable
Anthropic, PBC EE.UU. Inferencia de IA, generación de respuestas, análisis de conversaciones Contenido de mensajes, instrucciones, metadatos mínimos CCT / mecanismo válido aplicable
Google LLC / Google Cloud AI EE.UU. Servicios de IA e infraestructura según integración Datos según integración aplicable CCT / DPF / mecanismo válido aplicable
Vercel, Inc. EE.UU. Hosting de aplicaciones, dashboards y productos internos conectados a SimpliAutomatic Datos personales accesibles a través de interfaces o aplicaciones alojadas en la plataforma, según configuración CCT / DPF / mecanismo válido aplicable

Nota: (a) xAI Corp. (EE.UU.) podrá ser incorporado como subencargado en el futuro si se habilita su integración. (b) Vercel, Inc. se incluye de forma preventiva; su activación efectiva como subencargado se producirá cuando se desplieguen aplicaciones o interfaces que procesen datos personales en dicha plataforma. Su incorporación estará sujeta al procedimiento de notificación previsto en la Cláusula 6.

ANEXO III

HighLevel mantiene su propia lista pública de subprocesadores, disponible en su sitio web (https://www.gohighlevel.com/sub-processors). Dichos subprocesadores pueden incluir proveedores de infraestructura, comunicaciones, pagos, analítica, soporte, automatización, verificación de identidad, inteligencia artificial y afiliadas de soporte. La lista podrá actualizarse conforme al DPA y términos aplicables de HighLevel.

Estos proveedores podrán procesar datos personales cuando se utilicen las funcionalidades correspondientes de la plataforma, no necesariamente en todos los casos.

ACEPTACIÓN ELECTRÓNICA

La aceptación de este Acuerdo mediante los mecanismos previstos en el encabezado del presente documento (checkbox, aceptación de los Términos de Servicio, creación de cuenta o pago de la suscripción) constituye un acuerdo vinculante entre las Partes, con la misma validez legal que una firma manuscrita conforme a la Ley 34/2002 (LSSI-CE) y al Reglamento (UE) nº 910/2014 (eIDAS).

INFORMACIÓN DE CONTACTO:

Contacto de privacidad del Encargado: legal@ciigma.com

Contacto del Responsable: El contacto designado por el Cliente en su perfil de la Plataforma o el email de registro de la cuenta.

Comienza ahora

Olvídese de pasar de una aplicación a otra para estar al día de sus oportunidades de negocio. SimpliAutomatic proporciona notificaciones en tiempo real. 

La mejor desición para tener más clientesaumentar ventasmejorar el soporte al cliente

Try SimpliAutomatic today

Want to see your assistant in action? Fill out this form and it will be with you shortly.