DPA — Contrato de encargo de tratamiento

¿Cuándo aplica este DPA? Cuando tú (asesoría, despacho, empresa) usas Anoply para anonimizar documentos que contienen datos personales de terceros. Tú actúas como Responsable; Anoply, como Encargado. Si solo procesas datos tuyos personales, este DPA es informativo.

Partes del contrato

Responsable del tratamiento ("Cliente"): la persona física o jurídica titular de la cuenta Anoply.

Encargado del tratamiento ("Anoply"): Sinnvoll Consultores S.L., con CIF B-XXXXXXXX y domicilio en Edificio Hiberus, calle Isabel la Católica 6, Madrid, España.

Objeto, naturaleza y fin del encargo

Objeto: proporcionar a Cliente una herramienta de pseudonimización reversible de datos personales contenidos en documentos electrónicos.

Naturaleza del tratamiento: detección, sustitución y reversión de identificadores directos mediante procesamiento local en el navegador del Cliente. Anoply NO recibe el contenido de los documentos.

Finalidad: permitir al Cliente cumplir con principios de minimización (Art. 5 RGPD) y pseudonimización (Art. 25 y 32 RGPD).

Tipos de datos y categorías de interesados

Los tipos de datos personales sujetos a este encargo dependen de los documentos que el Cliente procese. Habitualmente:

Categorías de datos	Categorías de interesados
Identificativos (nombre, NIF/NIE, dirección, email, teléfono, fecha de nacimiento)	Clientes, empleados, proveedores, contrapartes contractuales del Cliente
Económico-financieros (IBAN, importes, fechas de pago, números de Seguridad Social)	Empleados, clientes con relación contractual
Profesionales (cargo, empresa, matrícula)	Contactos profesionales

Anoply no diseñado para procesar categorías especiales (Art. 9 RGPD: salud, religión, orientación, etc.) ni datos relativos a condenas penales (Art. 10 RGPD). Si el Cliente procesa este tipo de información, debe valorar idoneidad bajo su propia responsabilidad.

Obligaciones de Anoply como Encargado

Tratar los datos solo siguiendo instrucciones documentadas del Cliente (las que derivan del uso del servicio).
Garantizar confidencialidad del personal autorizado.
Aplicar medidas técnicas y organizativas adecuadas (Art. 32 RGPD): ver página de seguridad.
No subcontratar a otro encargado sin autorización general previa; lista pública en Política de privacidad.
Asistir al Responsable en el cumplimiento de sus obligaciones (respuesta a derechos, evaluaciones de impacto, notificaciones).
Notificar brechas de seguridad al Responsable sin dilación indebida (objetivo: dentro de 24 h de tener conocimiento), con la información del Art. 33.3 RGPD.
Permitir auditorías: el Cliente puede solicitar una auditoría documental anual; las auditorías presenciales requieren preaviso de 30 días y acuerdo sobre coste razonable.
Tras finalización del servicio: devolver o eliminar todos los datos personales tratados, salvo obligación legal de conservación.

Obligaciones del Cliente como Responsable

Tener base jurídica válida (Art. 6 RGPD) para tratar los datos personales que procesa con Anoply.
Informar a los interesados conforme a los Art. 13 y 14 RGPD.
Garantizar la exactitud de los datos.
Custodiar los diccionarios .akey con diligencia razonable. Su pérdida implica la imposibilidad técnica de re-identificación (pseudonimización irreversible).
Decidir sobre el ejercicio de derechos de los interesados; Anoply asiste pero no decide.

Subencargados autorizados

El Cliente autoriza con carácter general la subcontratación a los proveedores de infraestructura listados en la Política de privacidad. Si Anoply incorpora un nuevo subencargado relevante para los datos tratados bajo este DPA, lo notificará al Cliente con 30 días de antelación. El Cliente podrá oponerse motivadamente; si la oposición es razonable, Anoply propondrá alternativa.

Transferencias internacionales

Anoply no realiza transferencias internacionales de datos del Cliente fuera del Espacio Económico Europeo. Toda la infraestructura está en proveedores con servidores en la UE.

Duración del encargo

Este DPA es válido mientras el Cliente mantenga una cuenta activa en Anoply. Las obligaciones de confidencialidad y de devolución/eliminación sobreviven a la terminación.

Devolución y eliminación de datos

Al terminar el servicio, Anoply elimina los datos de cuenta del Cliente en 30 días salvo obligación legal de conservación (facturación: 6 años). Los diccionarios .akey y el contenido de documentos nunca llegan a Anoply, por lo que no requieren acción.

Solicitud de DPA firmado

Si tu DPO o legal requieren una versión firmada del DPA, escríbenos a dpo@anoply.eu. Lo enviamos firmado electrónicamente en 48 horas. Para clientes Enterprise lo incluimos como anexo al contrato marco.

Anoply DPA v1.0 · conforme al Art. 28 RGPD y Cláusulas Contractuales Tipo (Decisión 2021/915)
Sinnvoll Consultores S.L. · Madrid · DPO: dpo@anoply.eu