Confianza
Plantilla de Acuerdo de Tratamiento de Datos conforme al Artículo 28 del GDPR de la UE y al Artículo 9 de la FADP suiza. Descarga el PDF para su firma.
Descargar PDF firmable
Para formalizarlo, solicita una copia contrafirmada en privacy@legalaudit.ch. Los cambios materiales se notifican con al menos 30 días de antelación.
Este DPA se celebra entre el Cliente (Responsable del tratamiento) y LegalAudit SA, Lugano, Suiza (Encargado del tratamiento). Para el objeto regulado por el GDPR de la UE, LegalAudit actúa como Encargado. Cuando LegalAudit determina los medios técnicos estrictamente necesarios para prestar el servicio, lo hace conforme a instrucciones documentadas del Responsable.
Datos personales, Tratamiento, Responsable, Encargado, Subencargado y Autoridad de control tienen el significado dado en el Art. 4 del GDPR de la UE y el Art. 5 de la FADP suiza. «Servicios» significa la Cyber Console de LegalAudit, la generación de dossiers forenses, la Revisión Experta y la monitorización Enterprise.
Objeto: triaje técnico de artefactos enviados por el cliente (URL, archivos, archivos comprimidos, emails) y generación de dossiers forenses. Duración: durante la vigencia del acuerdo de servicio más los plazos de conservación definidos en la Sección 9. Naturaleza: almacenamiento, escaneo, extracción en sandbox, análisis asistido por IA y renderizado de dossiers.
Interesados: usuarios autorizados del Cliente; interesados referenciados dentro de las pruebas enviadas (nombres, direcciones de email, direcciones IP, identificadores financieros). Categorías de datos personales: datos de identificación, datos de contacto profesional, telemetría técnica y cualquier dato personal contenido en las pruebas enviadas.
LegalAudit trata los Datos personales únicamente conforme a instrucciones documentadas del Responsable, garantiza que el personal está obligado a confidencialidad, implementa las medidas de seguridad de la Sección 7, asiste al Responsable con las obligaciones de los Artículos 32 a 36 del GDPR, suprime o devuelve los Datos personales al finalizar el encargo y pone a disposición toda la información necesaria para demostrar el cumplimiento.
El Responsable otorga autorización general para los subencargados listados en legalaudit.ch/trust/subprocessors. LegalAudit notifica al Responsable los cambios previstos con al menos 30 días de antelación y el Responsable puede oponerse por motivos razonables. Los subencargados existentes están vinculados por contratos escritos que imponen sustancialmente las mismas obligaciones.
Cifrado en tránsito (TLS 1.3 con HSTS preload), cifrado en reposo (AWS KMS SSE-KMS, rutas segregadas por cliente), registro de auditoría WORM encadenado por hash (SHA-256), IAM de mínimo privilegio, escaneo con ClamAV de cada subida, extracción de archivos comprimidos en sandbox bubblewrap, protecciones SSRF en las peticiones salientes, MFA obligatorio para el personal con acceso a producción, control de acceso basado en roles y revisiones de acceso trimestrales.
LegalAudit notifica al Responsable cualquier brecha de Datos personales sin dilación indebida y en todo caso en un plazo de 24 horas desde que tiene conocimiento de ella, a través de security@legalaudit.ch. La notificación incluye la naturaleza de la brecha, las categorías y el número aproximado de interesados, las consecuencias probables y las medidas adoptadas o propuestas.
LegalAudit asiste al Responsable con medidas técnicas y organizativas apropiadas, en la medida de lo posible, para cumplir las obligaciones del Capítulo III del GDPR (acceso, rectificación, supresión, limitación, portabilidad, oposición). Las solicitudes de usuarios recibidas por LegalAudit se reenvían al Responsable en un plazo de 2 días hábiles.
Chat gratuito: 24 horas. Chat de pago: 30 días. Dossiers forenses: conservados durante la relación con el cliente más el archivado legal. Registros de auditoría: 13 meses como mínimo (obligaciones del Art. 958f del CO suizo). En caso de terminación, LegalAudit suprime o devuelve todos los Datos personales en un plazo de 30 días, salvo cuando el derecho de la Unión o suizo exija su conservación.
La residencia principal de los datos es Suiza y la Unión Europea. Cuando un subencargado trata datos fuera del EEE/Suiza, las transferencias se basan en las Cláusulas Contractuales Tipo de la UE (Decisión de Ejecución (UE) 2021/914 de la Comisión) y el Anexo suizo, con evaluaciones de impacto de las transferencias archivadas.
Una vez por año natural, con 30 días de preaviso por escrito, el Responsable puede auditar el cumplimiento de este DPA, ya sea mediante la revisión de informes de auditoría independientes (SOC 2, ISO 27001 cuando estén disponibles) o mediante una auditoría in situ realizada por un auditor externo acordado de mutuo acuerdo bajo confidencialidad. Los costes corren a cargo del Responsable salvo que se identifique un incumplimiento material.
La responsabilidad está sujeta a las limitaciones establecidas en el acuerdo marco de servicios. Este DPA entra en vigor con la firma, tiene la vigencia del acuerdo subyacente y subsiste hasta que el último Dato personal haya sido suprimido o devuelto.
Este DPA se rige por el derecho sustantivo suizo. El foro competente es Lugano, Suiza, sin perjuicio de las normas imperativas de los Estados miembros de la UE que protegen a los interesados.
Naturaleza, finalidad, duración, categorías de datos e interesados según lo establecido en las Secciones 3 a 4.
Lista actual mantenida en legalaudit.ch/trust/subprocessors. Los cambios se notifican a través del trust center y por email a los contactos designados por el Responsable.
Detalladas en legalaudit.ch/trust/security.
Documento informativo publicado por LegalAudit SA. Las declaraciones reflejan el estado actual de los controles y se revisan trimestralmente. No constituyen una garantía contractual salvo que se incorporen a un acuerdo firmado. Para condiciones vinculantes, solicita el DPA firmado en privacy@legalaudit.ch.