Contrato de encargo de tratamiento conforme al artículo 28 del Reglamento (UE) 2016/679 (RGPD), que regula el tratamiento por PriceVault de los datos personales que el Cliente introduce en la Plataforma.
El presente Acuerdo de Encargo de Tratamiento (en adelante, «el Acuerdo» o «DPA») regula el tratamiento por parte de Abarca Inteligencia Artificial, S.L. (en adelante, «PriceVault») de los datos personales que el Cliente introduce en la Plataforma o a los que da acceso a través de ella, en el marco de la prestación del servicio descrito en los Términos y Condiciones de Uso.
Este Acuerdo se aplica igualmente a los datos de las personas físicas a las que el Cliente da acceso a la Plataforma como usuarios autorizados, en la medida en que PriceVault los trate para prestarle el servicio contratado.
Este Acuerdo no se aplica a los datos de registro, contacto y facturación de la propia cuenta del Cliente, respecto de los cuales PriceVault actúa como responsable del tratamiento y cuyo tratamiento se describe en la Política de Privacidad.
Para evitar ambigüedades, en este Acuerdo:
client_id. No son parte de este contrato: son el contenido que el Cliente gestiona.Este doble rol se explica también en la Política de Privacidad.
Este Acuerdo se incorpora por referencia a los Términos y Condiciones de Uso y forma parte integrante de ellos. La contratación o el uso de la Plataforma implica su aceptación, sin necesidad de firma separada.
Si el Cliente necesita un ejemplar firmado de forma bilateral, puede solicitarlo en info@abarcaia.com.
En caso de contradicción entre documentos, prevalecerá este Acuerdo en todo lo relativo al tratamiento de datos personales por cuenta del Cliente, incluidas las consecuencias económicas que este Acuerdo prevé expresamente, y los Términos y Condiciones en el resto de materias.
PriceVault tratará los datos personales únicamente siguiendo instrucciones documentadas del Cliente, incluidas las relativas a las transferencias internacionales, salvo que le obligue a otra cosa el Derecho de la Unión o de los Estados miembros que le sea aplicable; en tal caso, informará al Cliente de esa exigencia legal antes del tratamiento, salvo que dicho Derecho lo prohíba por razones de interés público.
Constituyen instrucciones documentadas del Cliente, a los efectos de este Acuerdo:
PriceVault no tratará los datos para fines propios, ni los cederá a terceros salvo a los subencargados previstos en el Anexo III o por obligación legal.
Si PriceVault considera que una instrucción del Cliente infringe la normativa de protección de datos, le informará de inmediato y podrá suspender su ejecución hasta que el Cliente la confirme, modifique o retire, sin que dicha suspensión constituya incumplimiento del Acuerdo.
Si PriceVault considera que una instrucción excede del alcance del servicio contratado, lo comunicará al Cliente en el plazo de diez (10) días hábiles, indicando los motivos y, en su caso, el coste de su ejecución.
El Cliente, en su condición de responsable del tratamiento:
El Cliente tiene derecho a impartir instrucciones documentadas adicionales durante toda la vigencia del Acuerdo, a recibir la información y realizar las auditorías previstas en la cláusula 14, a elegir entre la supresión y la devolución de los datos conforme a la cláusula 13, y a oponerse a los subencargados conforme a la cláusula 10.
Este Acuerdo entra en vigor con la aceptación de los Términos y Condiciones y permanece vigente mientras PriceVault trate datos personales por cuenta del Cliente, es decir, mientras dure la relación contractual y hasta que se complete la supresión o devolución de los datos conforme a la cláusula 13.
PriceVault garantiza que las personas autorizadas para tratar los datos personales por cuenta del Cliente se han comprometido a respetar la confidencialidad o están sujetas a una obligación de confidencialidad de naturaleza estatutaria, y que dicho deber subsiste tras la finalización de su relación con PriceVault.
El acceso a los datos se limita al personal que lo necesite para prestar el servicio, mantener la Plataforma o atender una incidencia, conforme al principio de mínimo privilegio.
PriceVault aplica las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, conforme al artículo 32 del RGPD. Las medidas vigentes se detallan en el Anexo II.
PriceVault podrá actualizar dichas medidas para adaptarlas a la evolución técnica, siempre que ello no suponga una disminución del nivel de seguridad, e informará al Cliente de los cambios sustanciales conforme a la cláusula 19. Ningún sistema es invulnerable: PriceVault no garantiza una seguridad absoluta, sino un nivel de protección acorde al riesgo y al estado de la técnica.
El Cliente otorga a PriceVault una autorización general para recurrir a otros encargados (subencargados) para la prestación del servicio. Los subencargados vigentes en cada momento son los relacionados en el Anexo III.
Antes de recurrir a un subencargado, PriceVault verificará que ofrece garantías suficientes de aplicación de medidas técnicas y organizativas apropiadas, y suscribirá con él un contrato que le imponga las mismas obligaciones de protección de datos que las establecidas en este Acuerdo, incorporando cuando proceda las garantías del Capítulo V del RGPD. PriceVault seguirá siendo plenamente responsable ante el Cliente del cumplimiento de dichas obligaciones. A solicitud escrita del Cliente, PriceVault le facilitará copia de dicho contrato, de la que podrá expurgar la información comercial confidencial.
PriceVault informará al Cliente de la incorporación o sustitución de un subencargado con una antelación mínima de treinta (30) días naturales, mediante correo electrónico dirigido a la dirección asociada a su cuenta, sin perjuicio de la actualización simultánea del Anexo III. El Cliente podrá oponerse en el plazo de quince (15) días naturales desde el envío del aviso, por motivos razonables y documentados relativos a la protección de datos. Mientras la oposición esté pendiente de resolución, el subencargado objeto de la misma no tratará datos personales por cuenta del Cliente. Si la objeción no puede resolverse de mutuo acuerdo en el plazo de treinta (30) días, el Cliente podrá resolver la suscripción sin penalización, con derecho al reembolso de la parte proporcional no consumida del periodo abonado.
Teniendo en cuenta la naturaleza del tratamiento, PriceVault asistirá al Cliente, mediante medidas técnicas y organizativas apropiadas y en la medida de lo posible, para que este pueda cumplir con su obligación de responder a las solicitudes de ejercicio de derechos (acceso, rectificación, supresión, limitación, portabilidad y oposición), así como con la obligación de comunicación del artículo 19 del RGPD.
Si un interesado dirige su solicitud directamente a PriceVault, esta no la responderá por su cuenta: la trasladará al Cliente en el plazo máximo de cuarenta y ocho (48) horas e informará al interesado de que debe dirigirse al responsable del tratamiento.
La Plataforma permite al Cliente consultar, rectificar y desactivar por sí mismo los registros que ha introducido, así como exportarlos conforme a la cláusula 13. Las solicitudes que excedan de esas funcionalidades se atenderán de forma asistida por PriceVault en el plazo máximo de diez (10) días naturales desde la petición escrita del Cliente, o en un plazo inferior si este lo justifica por la proximidad del vencimiento del plazo de un mes que le impone el artículo 12.3 del RGPD.
Esta asistencia se presta sin coste adicional, salvo que las solicitudes sean manifiestamente desproporcionadas en número o complejidad, en cuyo caso PriceVault comunicará previamente al Cliente el coste estimado.
PriceVault notificará al Cliente cualquier violación de la seguridad de los datos personales de la que tenga conocimiento y que afecte a los datos tratados por su cuenta, sin dilación indebida y, en todo caso, dentro de las 48 horas siguientes a que tenga constancia de ella. La notificación se dirigirá a la dirección de correo asociada a la cuenta del Cliente e incluirá, en la medida en que se disponga de ella:
Cuando la información no pueda facilitarse de forma simultánea, se proporcionará de manera gradual sin dilación indebida.
Corresponde al Cliente, como responsable, valorar la notificación a la autoridad de control y la comunicación a los interesados. PriceVault le asistirá en ambas, teniendo en cuenta la naturaleza del tratamiento y la información de que disponga, facilitándole lo necesario para cumplir los plazos de los artículos 33 y 34 del RGPD, así como en el cumplimiento de sus obligaciones conforme a los artículos 32, 35 (evaluación de impacto) y 36 (consulta previa).
PriceVault documentará toda violación de seguridad, incluidos los hechos, sus efectos y las medidas correctivas adoptadas, conforme al artículo 33.5 del RGPD, y conservará y pondrá a disposición del Cliente dicha documentación y las evidencias técnicas asociadas mientras sean necesarias.
A elección del Cliente, PriceVault suprimirá o devolverá todos los datos personales tratados por su cuenta una vez finalizada la prestación del servicio, y suprimirá las copias existentes, salvo que el Derecho de la Unión o de los Estados miembros exija su conservación.
Desde la finalización del servicio, PriceVault cesará todo tratamiento activo de los datos y se limitará a su conservación segura hasta la supresión o devolución.
Si el Cliente no manifiesta su elección en el plazo de treinta (30) días naturales desde la finalización del servicio, PriceVault conservará los datos para permitir la reactivación de la cuenta y los suprimirá transcurridos noventa (90) días naturales desde dicha finalización, sin necesidad de requerimiento adicional.
PriceVault pondrá a disposición del Cliente toda la información necesaria para demostrar el cumplimiento de las obligaciones del artículo 28 del RGPD, incluido su registro de actividades de tratamiento del artículo 30.2, y permitirá y contribuirá a la realización de auditorías, incluidas inspecciones, por parte del Cliente o de un auditor autorizado por él.
Con carácter previo, PriceVault podrá proponer atender la solicitud facilitando la documentación descriptiva de sus medidas de seguridad o respondiendo a un cuestionario. Si el Cliente motiva razonadamente que dicha información no resulta suficiente para verificar el cumplimiento, la auditoría se realizará en las siguientes condiciones:
PriceVault cooperará con la autoridad de control competente en el ejercicio de sus funciones conforme al artículo 31 del RGPD y permitirá las inspecciones que aquella acuerde, sin sujeción al preaviso ni a la frecuencia previstos en esta cláusula.
El servidor de aplicación está alojado en la Unión Europea. La base de datos es un servicio gestionado cuya región se indica en el Anexo III. Algunos de los subencargados del Anexo III pueden tratar datos fuera del Espacio Económico Europeo.
En esos casos, las transferencias se amparan en las garantías adecuadas del Capítulo V del RGPD, principalmente las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea o, cuando resulten aplicables, decisiones de adecuación. El Cliente puede solicitar información sobre dichas garantías en info@abarcaia.com.
El Cliente puede utilizar la Plataforma a través de su API REST y de su servidor MCP (Model Context Protocol), que permite a un agente de inteligencia artificial consultar el catálogo de tarifas como herramienta. Este uso está expresamente cubierto por el presente Acuerdo.
El tratamiento realizado a través de la API y del MCP tiene la misma naturaleza y finalidad que el realizado a través de la interfaz web: consultar, gestionar y calcular sobre las tarifas del Cliente. No constituye un tratamiento distinto ni requiere una instrucción separada.
Los endpoints de cálculo y recomendación reciben perfiles de consumo energético (consumo por periodo, potencia contratada y parámetros análogos). Estos datos:
De cada llamada autenticada a la API se registra un asiento con únicamente estos metadatos: la clave de API empleada, la ruta del endpoint (sin los parámetros de la consulta), el código de estado, el tiempo de respuesta y la fecha. No se registra el cuerpo de la petición ni, por tanto, los datos de consumo. Estos registros se eliminan mediante una tarea automática diaria una vez transcurridos 365 días.
Con independencia de lo anterior, cuando se produce un error en la aplicación, el servicio de diagnóstico indicado en el Anexo III recibe la ruta y los parámetros de la consulta de la petición que lo provocó, que en algunos endpoints de consulta pueden incluir criterios de filtrado. No recibe el cuerpo de la petición.
Las claves de API pueden vincularse a una única entrada de la cartera del Cliente. Cuando lo están, el acceso queda limitado a los datos asociados a esa entrada y cualquier intento de consultar otra distinta se rechaza, sin perjuicio del acceso a los recursos comunes de la organización que no contienen datos personales, como el catálogo de comercializadoras. Las claves generadas para el MCP se acuñan además con permisos de solo lectura y nunca incluyen el permiso de consulta de la cartera.
Proveedores de inteligencia artificial contratados por el Cliente. Cuando el Cliente conecta al servidor MCP un agente o modelo de inteligencia artificial de un tercero (por ejemplo, Claude, ChatGPT o el modelo integrado en su herramienta de automatización), es el Cliente quien selecciona y contrata a ese proveedor. Dicho proveedor es, por tanto, subencargado del Cliente y no de PriceVault: no figura en el Anexo III, PriceVault no lo controla y no responde de su actuación.
La comunicación de datos a ese agente constituye una instrucción documentada del Cliente a los efectos de la cláusula 5, y la eventual transferencia internacional que de ella se derive se realiza bajo la exclusiva responsabilidad del Cliente. Corresponde al Cliente disponer de base jurídica válida y de un acuerdo de tratamiento de datos con dicho proveedor.
PriceVault no utiliza los datos personales tratados por cuenta del Cliente para entrenar, ajustar ni evaluar modelos de inteligencia artificial, ni propios ni de terceros, ni los cede con esa finalidad.
Si en el futuro PriceVault incorporase alguna funcionalidad que implique el envío de datos del Cliente a un proveedor de inteligencia artificial contratado por PriceVault, dicho proveedor se incorporaría al Anexo III como subencargado, con el preaviso y el derecho de oposición previstos en la cláusula 10.
Cada parte responde de los daños que cause por el incumplimiento de las obligaciones que el RGPD le impone específicamente, conforme a su artículo 82. El Cliente garantiza la licitud de los datos que introduce y responde de disponer de la base jurídica y de haber informado a los interesados.
Las limitaciones de responsabilidad pactadas en los Términos y Condiciones de Uso resultan de aplicación a este Acuerdo, con las siguientes excepciones. No serán de aplicación a:
La pérdida o destrucción de los datos personales tratados por cuenta del Cliente no tendrá en ningún caso la consideración de daño indirecto.
El Cliente mantendrá indemne a PriceVault frente a las reclamaciones de terceros derivadas de la introducción de datos sin base jurídica válida o de categorías especiales de datos, cuyo contenido PriceVault no está obligada a inspeccionar ni filtrar.
PriceVault podrá modificar este Acuerdo únicamente para adaptarlo a cambios normativos, a resoluciones de las autoridades de control o a la evolución técnica del servicio, y siempre que la modificación no reduzca el nivel de protección de los datos ni los derechos del Cliente.
Toda modificación sustancial se comunicará al Cliente por correo electrónico con una antelación mínima de treinta (30) días naturales. Si el Cliente no la acepta, podrá resolver la suscripción sin penalización dentro de ese plazo, con reembolso de la parte proporcional no consumida del periodo abonado.
PriceVault conservará las versiones anteriores de este Acuerdo y de sus Anexos, con indicación de sus fechas de vigencia, y las facilitará al Cliente a solicitud escrita, de modo que este pueda acreditar qué condiciones y qué subencargados estaban vigentes en una fecha determinada.
Las comunicaciones relativas a este Acuerdo, incluidas las instrucciones adicionales, las objeciones a subencargados y las solicitudes de supresión, devolución o auditoría, se dirigirán a info@abarcaia.com. Las comunicaciones de PriceVault al Cliente se dirigirán a la dirección de correo asociada a su cuenta.
Este Acuerdo se rige por el Reglamento (UE) 2016/679 (RGPD) y por la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales, siendo la Agencia Española de Protección de Datos la autoridad de control competente. En lo demás, resultan de aplicación la ley y la jurisdicción previstas en los Términos y Condiciones de Uso.
| Objeto | Prestación del servicio SaaS de gestión, comparación y cálculo de tarifas de luz y gas descrito en los Términos y Condiciones. |
| Naturaleza y finalidad | Alojamiento, almacenamiento, consulta, estructuración, cálculo y exportación de la información que el Cliente introduce, con la única finalidad de prestarle el servicio contratado. |
| Duración | Mientras dure la relación contractual y hasta la supresión o devolución de los datos conforme a la cláusula 13. |
| Categorías de interesados |
|
| Categorías de datos |
|
| Categorías especiales | La Plataforma no está diseñada para tratar categorías especiales de datos (artículo 9 del RGPD) ni datos relativos a condenas e infracciones penales. El Cliente se compromete a no introducirlos, conforme a la cláusula 6. |
Medidas vigentes en la fecha de última actualización de este documento:
HttpOnly con política SameSite, no accesibles desde JavaScript.X-Frame-Options, X-Content-Type-Options y Referrer-Policy.Proveedores que tratan datos personales por cuenta del Cliente:
| Subencargado | Finalidad y datos a los que accede | Ubicación |
|---|---|---|
| Contabo GmbH | Alojamiento del servidor de aplicación. Acceso potencial a los datos en tránsito y en memoria del servidor. | Alemania (UE) |
| Supabase | Base de datos gestionada (PostgreSQL) y copias de seguridad. Aloja la totalidad de los datos almacenados. | Unión Europea |
| Cloudinary | Alojamiento de las imágenes que el Cliente sube, incluidas las asociadas a las entradas de su cartera. | UE / EE. UU. con garantías adecuadas |
| Sentry | Registro y diagnóstico de errores de la aplicación. Cuando se produce un error recibe datos técnicos de la petición: método, ruta, parámetros de la consulta y cabeceras, excluidas las de autenticación. No recibe el cuerpo de la petición, ni las cookies, ni la dirección IP. | EE. UU. / con garantías adecuadas |
| Google Ireland Ltd. / Google LLC (Google Fonts) | Servicio de tipografías web cargado en todas las páginas, incluidas las de la aplicación. Recibe la dirección IP y los datos de conexión del navegador. No recibe el contenido de la cartera. | UE / EE. UU. con garantías adecuadas |
| Google Ireland Ltd. / Google LLC (Google Analytics) | Analítica de uso, únicamente si el usuario acepta las cookies analíticas. Recibe la ruta de las páginas visitadas y datos de conexión. No recibe el contenido de la cartera. | UE / EE. UU. con garantías adecuadas |
| Cloudflare y unpkg (redes de distribución de contenidos) | Distribución de las librerías JavaScript que utiliza la interfaz. Pueden recibir la dirección IP y los datos de conexión del navegador. No reciben el contenido de la cartera. | EE. UU. / con garantías adecuadas |
Los siguientes proveedores tratan únicamente datos de la cuenta del Cliente, respecto de los cuales PriceVault actúa como responsable (cláusula 1). Se relacionan a efectos informativos y su tratamiento se describe en la Política de Privacidad:
| Proveedor | Finalidad | Ubicación |
|---|---|---|
| Resend | Envío de correos transaccionales. Recibe la dirección de correo y el nombre del destinatario. | EE. UU. / con garantías adecuadas |
| Stripe | Procesamiento de pagos y suscripciones. Los datos de la tarjeta se tratan directamente por Stripe y no pasan por PriceVault. | UE / EE. UU. con garantías adecuadas |
El proveedor de inteligencia artificial que el Cliente conecte al servidor MCP no figura en estas listas por la razón explicada en la cláusula 16: lo contrata el Cliente y es subencargado suyo, no de PriceVault.