Información legal

Contrato de encargo del tratamiento

Fecha de entrada en vigor

9 de julio de 2026

1. Partes y antecedentes

El presente Contrato de encargo del tratamiento («CET») se celebra entre Notakey Latvia, SIA, número de registro unificado 40103993632, domicilio social Ganu iela 3 – 12, Rīga, LV-1010, Letonia («Notakey» o el «Encargado del tratamiento») y el cliente identificado en el Formulario de Pedido o la suscripción aplicables («Cliente» o el «Responsable del tratamiento»). Forma parte de las Condiciones del Servicio de Notakey (el «Contrato») y se incorpora a ellas.

El presente CET se aplica cuando Notakey trata datos personales por cuenta del Cliente en el marco de la prestación de los Servicios, en el sentido del Reglamento (UE) 2016/679 (el «RGPD»). Términos como «datos personales», «tratamiento», «responsable del tratamiento», «encargado del tratamiento» e «interesado» tienen el significado que les atribuye el RGPD.

2. Objeto, duración, naturaleza y finalidad

Objeto: la prestación al Cliente de los Servicios de autenticación y firma de transacciones de Notakey (notakey.cloud o el dispositivo Notakey Appliance, junto con la aplicación móvil Notakey).

Duración: el periodo de vigencia del Contrato, más el periodo que transcurra hasta la supresión o devolución de la totalidad de los Datos Personales del Cliente en virtud de la sección 10.

Naturaleza y finalidad: el alojamiento, la transmisión y el tratamiento de datos de autenticación y de aprobación de transacciones, para que los usuarios autorizados del Cliente puedan registrar dispositivos, recibir solicitudes de aprobación y aprobar o rechazar operaciones de autenticación y de firma.

Categorías de interesados: los empleados, contratistas, clientes, miembros u otros usuarios finales del Cliente a quienes el Cliente registre en los Servicios.

Tipos de datos personales: identificadores de usuario (como el nombre de usuario, la dirección de correo electrónico o el número de teléfono); datos de verificación del registro (como códigos de un solo uso entregados por SMS o WhatsApp, aserciones de directorio o de OpenID Connect, o la aprobación manual de un administrador); datos del dispositivo (modelo del dispositivo, versión del sistema operativo, token de notificaciones push, clave pública y certificado del dispositivo); y actividad de autenticación/aprobación (metadatos de las solicitudes, resultados de aprobación/rechazo, marcas de tiempo, firmas). Las claves privadas se generan y se almacenan en los dispositivos de los usuarios finales y nunca se transmiten a Notakey ni son conservadas por esta. No se prevé el tratamiento de categorías especiales de datos personales (artículo 9 del RGPD); la verificación biométrica, cuando se utiliza, se realiza en su totalidad en el dispositivo del usuario final y no es recibida por Notakey.

3. Funciones e instrucciones

El Cliente es el responsable del tratamiento y Notakey es el encargado del tratamiento de los Datos Personales del Cliente. Notakey tratará los Datos Personales del Cliente únicamente siguiendo instrucciones documentadas del Cliente, incluidas las establecidas en el Contrato, en el presente CET y en la configuración de los Servicios realizada por el Cliente, salvo que el tratamiento venga exigido por el Derecho de la Unión o del Estado miembro al que esté sujeta Notakey — en tal caso, Notakey informará al Cliente de dicha exigencia legal antes de proceder al tratamiento, salvo que la ley lo prohíba. Notakey informará al Cliente si, en su opinión, una instrucción infringe el RGPD.

4. Confidencialidad

Notakey garantiza que las personas autorizadas a tratar los Datos Personales del Cliente están sujetas a obligaciones de confidencialidad contractuales o legales.

5. Seguridad

Notakey aplica y mantiene medidas técnicas y organizativas adecuadas para proteger los Datos Personales del Cliente, teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento, conforme a lo exigido por el artículo 32 del RGPD. Las medidas actuales se describen en el Anexo 2. Notakey podrá actualizarlas cada cierto tiempo, siempre que no se reduzca el nivel general de protección.

6. Subencargados del tratamiento

El Cliente otorga a Notakey una autorización general para recurrir a los subencargados del tratamiento enumerados en el Anexo 3. Notakey notificará al Cliente con una antelación mínima de 30 días antes de incorporar o sustituir a un subencargado del tratamiento; el Cliente podrá oponerse por motivos razonables relativos a la protección de datos dentro de dicho plazo, en cuyo caso las partes colaborarán de buena fe para encontrar una solución y, de no lograrse, el Cliente podrá resolver los Servicios afectados. Notakey impone a cada subencargado del tratamiento obligaciones de protección de datos equivalentes a las del presente CET y sigue siendo responsable de su cumplimiento.

7. Asistencia al Cliente

Teniendo en cuenta la naturaleza del tratamiento, Notakey asistirá al Cliente mediante medidas técnicas y organizativas adecuadas, en la medida de lo posible, en el cumplimiento de las obligaciones del Cliente de responder a las solicitudes de los interesados (Capítulo III del RGPD), así como en el cumplimiento de las obligaciones del Cliente en virtud de los artículos 32–36 del RGPD (seguridad, notificación de violaciones, evaluaciones de impacto relativas a la protección de datos y consulta previa), en cada caso a solicitud razonable del Cliente. Si un interesado se pone en contacto directamente con Notakey en relación con el uso de los Servicios por parte del Cliente, Notakey remitirá la solicitud al Cliente sin dilación indebida.

8. Notificación de violaciones de la seguridad de los datos personales

Notakey notificará al Cliente sin dilación indebida tras tener conocimiento de una violación de la seguridad de los datos personales que afecte a los Datos Personales del Cliente, y facilitará la información que esté razonablemente a disposición de Notakey para ayudar al Cliente a cumplir sus propias obligaciones de notificación en virtud de los artículos 33 y 34 del RGPD, completando la notificación a medida que se disponga de más información.

9. Transferencias internacionales

Notakey trata los Datos Personales del Cliente en el Espacio Económico Europeo. notakey.cloud se aloja en Oracle Cloud Infrastructure. Cuando un subencargado del tratamiento trate datos personales fuera del EEE (véase el Anexo 3), Notakey se asegura de que exista una garantía de transferencia adecuada, tales como las cláusulas contractuales tipo de la Comisión Europea o una decisión de adecuación (incluido el Marco de Privacidad de Datos UE–EE. UU. (EU–US Data Privacy Framework), cuando el destinatario esté certificado).

10. Supresión y devolución de datos

Tras la resolución o expiración de los Servicios, Notakey, a elección del Cliente, suprimirá o devolverá la totalidad de los Datos Personales del Cliente y suprimirá las copias existentes sin dilación indebida, salvo que el Derecho de la Unión o del Estado miembro exija su conservación ulterior.

11. Auditorías

Notakey pondrá a disposición del Cliente la información razonablemente necesaria para demostrar el cumplimiento del presente CET, y permitirá y contribuirá a la realización de auditorías, incluidas inspecciones, llevadas a cabo por el Cliente o por un auditor designado por el Cliente, con sujeción a un preaviso razonable, como máximo una vez en cualquier periodo de 12 meses, salvo que una violación de la seguridad de los datos personales o una autoridad de control exijan otra cosa, en horario laboral normal y con sujeción a obligaciones de confidencialidad. Notakey podrá atender en primer lugar una solicitud de auditoría aportando informes de auditoría o certificaciones existentes, cuando estos respondan razonablemente al alcance de la solicitud.

12. Responsabilidad y orden de prelación

La responsabilidad de cada parte en virtud del presente CET está sujeta a las limitaciones de responsabilidad establecidas en el Contrato. En caso de conflicto entre el presente CET y el Contrato en lo relativo al tratamiento de datos personales, prevalecerá el presente CET.

Anexo 1 — Detalles del tratamiento

Según lo establecido en la sección 2 del presente CET (objeto, duración, naturaleza y finalidad, categorías de interesados y tipos de datos personales).

Anexo 2 — Medidas técnicas y organizativas

  • Las claves privadas de los usuarios finales se generan y se almacenan en el almacenamiento seguro respaldado por hardware del dispositivo y nunca se transmiten a Notakey ni son conservadas por esta; cada aprobación se firma criptográficamente en el dispositivo.
  • Los datos en tránsito se cifran mediante TLS.
  • Los contenidos de las solicitudes de aprobación se entregan al dispositivo únicamente después de que el usuario acepte la notificación push; los proveedores de notificaciones push (APNs/FCM) reciben tokens, no el contenido de las solicitudes.
  • Más detalles sobre las medidas técnicas y organizativas de Notakey están a disposición del Cliente, previa solicitud, en info@notakey.com.

Anexo 3 — Subencargados del tratamiento autorizados

  • Oracle Cloud Infrastructure — alojamiento de notakey.cloud.
  • Apple Inc. (Apple Push Notification service) — entrega de notificaciones push a dispositivos iOS.
  • Google LLC (Firebase Cloud Messaging) — entrega de notificaciones push a dispositivos Android.
  • Functional Software, Inc. (Sentry) — diagnóstico de errores y fallos de la aplicación.

Cuando la configuración de alta del Cliente utilice la entrega de códigos de un solo uso por SMS o WhatsApp, el proveedor de entrega de mensajes recibe el número de teléfono del usuario final a efectos de la entrega. Una lista actualizada de subencargados del tratamiento está disponible, previa solicitud, en info@notakey.com.