Acuerdo de Encargo de Tratamiento (DPA)

1) Cliente: la entidad que contrata los servicios de Motryx (el "Responsable del Tratamiento" o "Responsable").

2) Motryx: Motryx Technologies S.L., con domicilio en Calle de Toledo 110, 28005, Madrid (el "Encargado del Tratamiento" o "Encargado").

Ambas partes acuerdan lo siguiente:

1. Objeto, duración, naturaleza y finalidad del tratamiento

1.1 Objeto: El Encargado tratará datos personales por cuenta del Responsable para prestar los servicios Motryx descritos en el Contrato (por ejemplo, agentes conversacionales/automatización comercial y operativa, gestión de conversaciones, trazabilidad de interacciones e integraciones).

1.2 Duración: Durante la vigencia del Contrato y, tras su terminación, durante el tiempo necesario para la devolución o supresión conforme a la Cláusula 10, salvo obligación legal.

1.3 Naturaleza y finalidad: Acceso, recogida, registro, organización, conservación, consulta, uso, transmisión y supresión de datos únicamente para: (i) operar el servicio, (ii) soporte, (iii) seguridad y prevención de abuso/fraude, y (iv) cumplir instrucciones documentadas del Responsable.

2. Tipos de datos y categorías de interesados

2.1 Tipos de datos (según uso del Responsable):

• Identificativos y contacto: nombre, teléfono (WhatsApp), email (si se aporta), identificadores internos (p. ej., cliente/orden).
• Datos de comunicación: contenido de mensajes (texto) y, si el Responsable lo habilita/usa, audios y archivos.
• Grabaciones de voz: Si el Responsable utiliza el agente de voz de Motryx, las llamadas entrantes y salientes podrán ser grabadas para su transcripción y procesamiento. Las grabaciones de audio se conservarán durante un máximo de 90 días naturales desde la fecha de la llamada, salvo instrucción diferente del Responsable, tras lo cual serán suprimidas automáticamente. Las transcripciones podrán conservarse durante la vigencia del Contrato como parte de los registros de interacciones.
• Metadatos operativos: fecha/hora, estado de mensajes, identificadores técnicos y registros de actividad/seguridad.
• Datos de negocio del Responsable: información relacionada con citas, mantenimientos, órdenes de trabajo y resultados de interacciones.

2.2 Categorías de interesados: usuarios finales del Responsable (sus clientes), potenciales clientes, empleados/usuarios autorizados del Responsable.

2.3 Categorías especiales: El servicio no está diseñado para tratar categorías especiales de datos. Si el Responsable decide incluirlas, deberá comunicarlo y dar instrucciones específicas, asegurando base legal y salvaguardas.

3. Instrucciones del Responsable

3.1 El Encargado tratará los datos solo siguiendo instrucciones documentadas del Responsable, incluyendo la configuración del servicio, el uso de funcionalidades y comunicaciones escritas.

3.2 Si el Encargado considera que una instrucción infringe la normativa aplicable, lo notificará al Responsable sin dilación indebida.

4. Confidencialidad

El Encargado garantizará que el personal autorizado para tratar datos se compromete a la confidencialidad mediante acuerdo contractual o estatutario y recibe formación adecuada en materia de protección de datos y seguridad de la información.

5. Medidas de seguridad

5.1 El Encargado aplicará medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo (art. 32 RGPD).

5.2 Las medidas mínimas se describen en el Anexo II.

6. Subencargados (subprocesadores)

6.1 El Responsable autoriza al Encargado a recurrir a subencargados necesarios para prestar el servicio (p. ej., hosting, almacenamiento, mensajería, analítica, IA/STT/TTS, integraciones), bajo contrato con obligaciones equivalentes a las de este DPA.

6.2 La lista actualizada de subencargados estará disponible en: motryx.ai/subprocessors

6.3 El Encargado notificará cambios materiales en la lista de subencargados con un preaviso mínimo de 30 días naturales, mediante actualización de dicha URL y aviso por correo electrónico al Responsable. El Responsable podrá oponerse por motivos razonables vinculados a protección de datos en un plazo de 15 días naturales desde la notificación; las partes cooperarán de buena fe para buscar una alternativa técnica razonable. Si no fuera posible, el Responsable podrá resolver el servicio afectado sin penalización.

7. Asistencia al Responsable

El Encargado asistirá al Responsable, teniendo en cuenta la naturaleza del tratamiento, para:

1. atender solicitudes de derechos de los interesados cuando el Responsable lo requiera, en un plazo razonable que permita al Responsable cumplir con los plazos legales;
2. cumplir obligaciones relativas a seguridad y notificación de brechas;
3. apoyar evaluaciones de impacto (DPIA) y consultas previas cuando proceda, en la medida aplicable.

8. Violaciones de seguridad (brechas)

8.1 El Encargado notificará al Responsable cualquier violación de seguridad de datos personales de la que tenga conocimiento en un plazo máximo de 72 horas desde su detección, conforme al plazo establecido en el art. 33 RGPD para la notificación a la autoridad de control.

8.2 La notificación incluirá, en la medida razonablemente disponible: (i) naturaleza del incidente, (ii) categorías y número aproximado de interesados afectados, (iii) datos de contacto del punto de contacto del Encargado, (iv) consecuencias probables, y (v) medidas adoptadas o propuestas para mitigar los efectos.

8.3 Si no fuera posible facilitar toda la información simultáneamente, se proporcionará de forma gradual sin dilación indebida.

9. Transferencias internacionales

9.1 Para prestar el servicio, determinados datos personales podrán ser transferidos a subencargados ubicados fuera del EEE, en particular a proveedores situados en Estados Unidos (véase Anexo III).

9.2 Para cada transferencia fuera del EEE, el Encargado garantizará que existen garantías adecuadas conforme al Capítulo V del RGPD, incluyendo:

• Cláusulas Contractuales Tipo (SCCs) adoptadas por la Comisión Europea (Decisión 2021/914), o
• decisión de adecuación de la Comisión Europea, o
• cualquier otro mecanismo válido según la normativa aplicable.

9.3 El Encargado verificará que sus subencargados con sede fuera del EEE mantienen vigentes las garantías de transferencia adecuadas y lo reflejará en la documentación de subencargados.

10. Devolución o supresión de datos al finalizar el servicio

10.1 Tras la terminación del Contrato, el Encargado, a elección del Responsable comunicada por escrito en un plazo de 30 días naturales desde la terminación:

1. devolverá los datos personales en formato estándar y legible por máquina (p. ej., CSV, JSON); o
2. suprimirá los datos personales de forma segura,

salvo conservación exigida por obligación legal aplicable.

10.2 Si el Responsable no comunica su elección en el plazo indicado, el Encargado procederá a la supresión de los datos.

10.3 La supresión se completará en un plazo máximo de 30 días naturales desde la solicitud o expiración del plazo anterior. Las copias de seguridad seguirán la rotación estándar y serán eliminadas en un plazo máximo de 90 días naturales.

10.4 El Encargado emitirá un certificado de supresión a solicitud del Responsable, confirmando la eliminación efectiva de los datos personales.

11. Información, auditorías y demostración de cumplimiento

11.1 El Encargado pondrá a disposición del Responsable la información necesaria para demostrar el cumplimiento del art. 28 RGPD.

11.2 Auditorías: El Responsable podrá auditar de forma razonable y con preaviso mínimo de 30 días naturales, limitando el alcance a lo necesario para verificar cumplimiento y respetando confidencialidad y seguridad de otros clientes. Salvo indicios razonables de incumplimiento, las auditorías serán: (i) durante horario laboral, (ii) no más de 1 vez/año, y (iii) a coste del Responsable.

11.3 El Encargado podrá satisfacer las obligaciones de auditoría proporcionando informes de auditoría independientes o certificaciones de seguridad vigentes (p. ej., SOC 2, ISO 27001) cuando estén disponibles, como alternativa a una auditoría presencial.

12. Obligaciones del Responsable

El Responsable garantiza que:

1. dispone de base legal adecuada para el tratamiento y ha informado a los interesados conforme a los arts. 13 y 14 del RGPD;
2. define y documenta las instrucciones de tratamiento;
3. no solicita al Encargado tratar datos innecesarios o ilícitos;
4. configura el servicio conforme a sus obligaciones de protección de datos;
5. informa a sus clientes/interesados sobre la grabación de llamadas y el uso de agentes de IA cuando corresponda.

13. Responsabilidad

13.1 El Encargado será responsable de los daños causados por el tratamiento cuando haya actuado al margen o en contra de las instrucciones legítimas del Responsable, o cuando haya incumplido las obligaciones del RGPD específicamente dirigidas a los encargados del tratamiento, conforme al art. 82 RGPD.

13.2 La responsabilidad total acumulada del Encargado frente al Responsable derivada de o en relación con este DPA no excederá, en ningún período de 12 meses consecutivos, el importe total de las cantidades efectivamente pagadas por el Responsable al Encargado en virtud del Contrato durante los 12 meses anteriores al hecho que da lugar a la reclamación.

13.3 Esta limitación no se aplicará en caso de dolo o negligencia grave del Encargado, ni limitará las responsabilidades que no puedan excluirse o limitarse conforme a la legislación aplicable.

13.4 Cada parte indemnizará a la otra de las multas, sanciones, daños y perjuicios y gastos razonables (incluidos honorarios de abogados) que resulten del incumplimiento de sus respectivas obligaciones bajo este DPA o la normativa de protección de datos aplicable.

14. Orden de prelación

En caso de conflicto entre este DPA y el Contrato, prevalecerá este DPA solo respecto a protección de datos.

15. Aceptación

Este DPA se entenderá aceptado por el Responsable al firmar el Contrato o al contratar/usar el servicio Motryx conforme a los Términos publicados.

Anexo I – Detalles del tratamiento

Servicio/s: Motryx (agente de WhatsApp y voz / automatización comercial y operativa; gestión de órdenes de trabajo, agenda, clientes y vehículos; integraciones; analítica básica; soporte).

Operaciones: recogida, registro, organización, conservación, consulta, uso, transmisión a canales/integraciones configuradas por el Responsable y supresión.

Ubicación principal de tratamiento: EEE (España — Azure Spain Central). Determinados subprocesadores ubicados en Estados Unidos (véase Anexo III).

Plazos de conservación:

Anexo II – Medidas técnicas y organizativas

1. Control de accesos: mínimo privilegio, autenticación basada en JWT con sesiones seguras, gestión centralizada de credenciales, control de acceso basado en roles (RBAC) por taller.
2. Cifrado en tránsito: TLS 1.2 o superior para todas las comunicaciones entre clientes, servidores y servicios de terceros.
3. Cifrado en reposo: Base de datos PostgreSQL alojada en Azure con cifrado en reposo habilitado por defecto (AES-256). Backups cifrados.
4. Segregación lógica entre clientes: cada taller opera en un espacio de datos lógicamente aislado mediante identificadores de workshop, impidiendo el acceso cruzado entre clientes.
5. Registro y monitorización: registro de eventos relevantes de seguridad, accesos y operaciones sensibles. Monitorización de disponibilidad del servicio.
6. Backups y recuperación: copias de seguridad automatizadas con políticas de retención y rotación. Procedimiento de restauración documentado.
7. Gestión de vulnerabilidades: actualización periódica de dependencias, aplicación de parches de seguridad en plazos razonables.
8. Gestión de incidentes: procedimiento interno de detección, evaluación y notificación de brechas de seguridad conforme a la Cláusula 8.
9. Confidencialidad del personal: todo el personal con acceso a datos personales está sujeto a obligaciones de confidencialidad y recibe formación básica en seguridad y protección de datos.
10. Subencargados: todos los subencargados operan bajo contrato con obligaciones equivalentes a las de este DPA, incluyendo medidas de seguridad adecuadas.

Anexo III – Subencargados

Lista actualizada en: motryx.ai/subprocessors

Última actualización: 5 de marzo de 2026