Acuerdo de Tratamiento de Datos (DPA)

1. Partes

Encargado del Tratamiento (Processor): Quantum Nexus Ventures, S.L., con domicilio en España, titular de la marca Nexus Legal y del dominio nexusquantum.legal (en adelante, «Nexus» o «el Encargado»).

Responsable del Tratamiento (Controller): la entidad o persona jurídica que contrata los servicios de Nexus mediante la aceptación de los Términos del Servicio y este DPA (en adelante, «el Cliente» o «el Responsable»).

2. Objeto

El presente acuerdo regula las condiciones bajo las cuales Nexus, en calidad de Encargado, tratará datos personales en nombre del Cliente, en el marco de la prestación del servicio «Nexus Legal» (análisis jurídico asistido por IA, API pública v1, servidor MCP, add-ins de productividad y servicios relacionados).

3. Naturaleza, finalidad y duración del tratamiento

• Naturaleza: análisis automatizado de documentos jurídicos remitidos por el Cliente a través de la plataforma o API.
• Finalidad: generación de informes, redacción de escritos, búsqueda jurisprudencial, simulación de escenarios y demás servicios contratados.
• Duración: mientras el Cliente mantenga cuenta activa con saldo de créditos o suscripción vigente. Cancelación de cuenta implica fin del tratamiento (salvo conservación legal forzosa, ver §11).
• Categorías de datos personales: los que el Cliente decida subir a la plataforma. Típicamente datos identificativos de partes (nombre, DNI/NIE, dirección), datos económicos en contratos, datos profesionales. Excepcionalmente datos de categorías especiales (salud, antecedentes penales) en función del caso jurídico.
• Categorías de interesados: personas físicas mencionadas en los documentos remitidos por el Cliente (clientes finales del despacho, contrapartes, testigos, etc.).

4. Instrucciones del Responsable

Nexus tratará los datos personales únicamente conforme a las instrucciones documentadas del Cliente. Estas instrucciones son las que se desprenden de: (a) los Términos del Servicio, (b) este DPA, (c) la documentación técnica de la API v1, y (d) las solicitudes individuales que el Cliente realice a través de la plataforma.

Nexus notificará al Cliente sin demora si entiende que una instrucción del Cliente infringe el RGPD o cualquier otra disposición de protección de datos.

5. Obligaciones de Nexus como Encargado (Art. 28.3 RGPD)

1. Confidencialidad: Nexus garantiza que las personas autorizadas para tratar datos están sometidas a deber de confidencialidad explícito por contrato o ley.
2. Medidas de seguridad (Art. 32): Nexus aplica las medidas técnicas y organizativas detalladas en §6 abajo.
3. Sub-encargados: Nexus podrá recurrir a sub-encargados conforme a §7.
4. Asistencia al Responsable: Nexus asistirá al Cliente para responder solicitudes de ejercicio de derechos de los interesados (acceso, rectificación, supresión, oposición, portabilidad, limitación) cuando reciba notificación del Cliente.
5. Notificación de brechas: Nexus notificará cualquier violación de seguridad al Cliente sin demora indebida, en cualquier caso en plazo máximo de 24 horas desde la detección.
6. Auditoría: Nexus pondrá a disposición del Cliente, una vez al año y previo aviso de 30 días, la información necesaria para demostrar el cumplimiento de las obligaciones del art. 28. El Cliente podrá realizar auditorías propias o vía tercero designado, asumiendo los costes salvo en caso de incumplimiento grave acreditado.
7. Devolución y supresión: a la terminación de la prestación de servicios, Nexus devolverá o suprimirá los datos personales (a elección del Cliente), salvo conservación legal obligatoria.

6. Medidas técnicas y organizativas (Art. 32 RGPD)

• Zero Retention por defecto: los documentos remitidos a la plataforma se procesan en memoria RAM y NO se persisten en base de datos salvo decisión expresa del Cliente (asociación a expediente con retention_policy «standard» o superior).
• Hosting en suelo UE: infraestructura Railway europe-west4-drams3a (Países Bajos). Datos en tránsito → TLS 1.3. Datos en reposo (cuando aplica) → AES-256.
• PII Gatekeeper: antes de remitir texto a LLMs, Nexus anonimiza automáticamente DNIs, NIEs, IBANs, números de cuenta, emails y teléfonos. El LLM no procesa identificadores personales directos.
• Control de acceso: autenticación por API key (SHA-256), scopes mínimos por función, registros de uso por endpoint (`api_usage_stats`).
• Cifrado de claves: las API keys se almacenan como hash SHA-256; nunca en claro.
• Logs y auditoría: registro append-only de eventos (`output_review_events`, `admin_audit_log`).
• Backups: snapshots Supabase con cifrado en reposo, retención 7 días.
• Vulnerabilidades: revisión continua de dependencias (npm audit en CI), parches críticos en < 48 h, auditoría externa anual.
• Continuidad: arquitectura sin estado en backend (escalable horizontalmente), failover Supabase Pro disponible bajo contrato.

7. Sub-encargados autorizados

El Cliente autoriza con carácter general los siguientes sub-encargados, todos con cláusulas contractuales RGPD-compliant:

Nexus se compromete a notificar al Cliente cualquier cambio de sub-encargados con 30 días de antelación. El Cliente podrá oponerse por motivos justificados.

8. Transferencias internacionales

Cuando se produzcan transferencias fuera del Espacio Económico Europeo (típicamente a sub-encargados de LLM en USA), Nexus se asegura de que se realicen bajo Cláusulas Contractuales Tipo (SCC) de la Comisión Europea (Decisión 2021/914) y, en su caso, decisiones de adecuación vigentes (UK adequacy 2021).

Para clientes que requieran procesamiento estricto en UE sin transferencia a USA, Nexus ofrece bajo contrato enterprise un modo «EU-only LLM» que limita el ruteo a proveedores con datacenters UE (DeepSeek-EU, Mistral, etc.). Tarifa adicional según volumen.

9. Responsabilidad e indemnización

Cada parte responderá frente a la otra de los daños y perjuicios derivados de su incumplimiento del RGPD, en los términos del art. 82 RGPD. La responsabilidad de Nexus frente al Cliente quedará limitada a las cantidades efectivamente abonadas por el Cliente en los 12 meses anteriores al evento generador del daño, salvo dolo o negligencia grave acreditada.

10. Asistencia en evaluaciones de impacto (DPIA) y consulta previa

Nexus prestará al Cliente la asistencia razonablemente necesaria para realizar EIPDs (Art. 35) o consultas previas a la autoridad de control (Art. 36) en relación con los servicios contratados.

11. Conservación, devolución y supresión

A la terminación del contrato, el Cliente puede elegir entre:

1. Exportar todos los datos asociados a su cuenta (analysis_outputs, evidencia, plazos, firm_memory, etc.) en formato JSON estructurado, mediante /api/account/export (siempre disponible).
2. Solicitar la supresión total e irreversible de sus datos en /api/account (DELETE), o por escrito a legal@nexusquantum.legal.

Excepciones de conservación: registros legalmente exigibles (consent_log con retención mínima 3 años post-revocación, facturación mínima 6 años conforme normativa española). Estos registros se conservan en formato anonimizado salvo cuando la ley exija lo contrario.

12. Vigencia y modificaciones

El presente DPA entra en vigor en la fecha de firma por ambas partes y se mantiene durante toda la prestación de servicios. Modificaciones a este DPA requieren acuerdo escrito de ambas partes, salvo cambios derivados de modificaciones del RGPD o de directrices del Comité Europeo de Protección de Datos, que se aplicarán automáticamente previa notificación al Cliente.

13. Ley aplicable y jurisdicción

Este DPA se rige por la legislación española y, en lo que aplique, por el RGPD y la LOPDGDD. Las partes se someten a los Juzgados y Tribunales de Madrid, salvo que las normas de protección al consumidor establezcan lo contrario.

14. Firmas