Anexo de Tratamiento de Datos

1. Partes y naturaleza del acuerdo

El presente Anexo regula el tratamiento de datos personales que AXIOMA LEGALTECH, S.L. (En Constitución) (en adelante, "el Encargado") realiza por cuenta del usuario (en adelante, "el Responsable") en el marco de la prestación del servicio de generación asistida de documentos jurídicos.

El Responsable declara contar con base jurídica suficiente para el tratamiento de los datos personales introducidos en la plataforma, ya sea en calidad de profesional del derecho o en virtud de cualquier otra legitimación válida conforme al RGPD.

2. Objeto y duración

El Encargado tratará los datos personales estrictamente necesarios para la generación del documento jurídico solicitado por el Responsable. El tratamiento se limita al tiempo estrictamente necesario para la generación del documento y un período máximo de retención de 7 días naturales, transcurridos los cuales los datos personales serán destruidos de forma automática e irreversible.

Los datos anonimizados derivados del case model, una vez eliminados todos los identificadores personales, podrán conservarse de forma indefinida con fines estadísticos y de mejora del servicio, conforme al Recital 26 RGPD. Dichos datos no constituyen datos personales a efectos del RGPD.

3. Naturaleza y finalidad del tratamiento

El tratamiento tiene por única finalidad la generación del documento jurídico solicitado. Los datos personales no serán utilizados para ninguna otra finalidad, ni cedidos a terceros, ni utilizados para entrenar modelos de inteligencia artificial.

Se extraerán datos estrictamente anonimizados (sin ningún identificador personal, con precisión temporal reducida al año) para análisis estadísticos agregados y mejora del servicio, conforme al Recital 26 RGPD. Dichos datos anonimizados no constituyen datos personales a efectos del RGPD.

4. Tipo de datos y categorías de interesados

Los datos tratados podrán incluir:

• • Datos identificativos del procedimiento (partido judicial y tipo de procedimiento)
• • Datos económicos del contrato (TAE, cuantías, plazos)
• • Datos relativos a motivos de fondo del escrito (falta de transparencia, usura, prescripción...)
• • Nombres e identificadores de las partes procesales, en la medida en que sean introducidos por el Responsable

Los interesados son las partes en el procedimiento judicial para el que se genera el documento: deudores, entidades financieras, cesionarios de crédito y demás partes procesales.

5. Obligaciones del Encargado

El Encargado se compromete a:

• a) Tratar los datos únicamente conforme a las instrucciones documentadas del Responsable, que se concretan en la generación del documento solicitado.
• b) Garantizar la confidencialidad de los datos mediante las medidas técnicas descritas en el apartado 7.
• c) No subcontratar el tratamiento sin informar al Responsable, salvo los subencargados listados en el apartado 6.
• d) Asistir al Responsable en el cumplimiento de su obligación de responder a solicitudes de ejercicio de derechos de los interesados, en la medida en que sea posible habida cuenta de la naturaleza del tratamiento.
• e) Destruir todos los datos personales una vez finalizada la prestación del servicio, en el plazo máximo de 7 días, salvo obligación legal de conservación. Los datos anonimizados del case model no están sujetos a este plazo por no constituir datos personales conforme al Recital 26 RGPD.
• f) Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones del presente Anexo.

6. Subencargados del tratamiento

El Responsable autoriza expresamente la subcontratación con los siguientes proveedores, que actúan como subencargados:

El Encargado informará al Responsable de cualquier modificación prevista en la lista de subencargados, otorgando al Responsable la posibilidad de oponerse a dichos cambios.

7. Medidas de seguridad

El Encargado aplica las siguientes medidas técnicas y organizativas:

• Cifrado en tránsito (TLS 1.2+) y en reposo
• Autenticación mediante tokens JWT con revocación
• Acceso a datos restringido por roles
• Logs de auditoría sin contenido sensible
• Purga automática mediante jobs programados (Cloud Scheduler)
• Almacenamiento en infraestructura certificada ISO 27001 (Google Cloud, servidores UE)
• No persistencia del texto del escrito generado más allá de 24 horas en GCS
• Anonimización automática del case model antes de su conservación indefinida

8. Notificación de brechas de seguridad

El Encargado notificará cualquier violación de seguridad que afecte a los datos personales tratados por cuenta del Responsable conforme a los siguientes mecanismos, por orden de preferencia:

• a) Si el Responsable ha facilitado email de notificación: comunicación directa en un plazo máximo de 72 horas desde el conocimiento de la brecha.
• b) Si el Responsable no ha facilitado datos de contacto: publicación en https://axiomalegaltech.com/seguridad en el plazo máximo de 72 horas, canal que el Responsable acepta expresamente como medio de notificación suficiente al haber optado por el uso anónimo del servicio.

9. Derechos del Responsable

El Responsable podrá en cualquier momento:

• • Solicitar información sobre el tratamiento realizado
• • Solicitar la destrucción anticipada de los datos personales de un expediente concreto
• • Auditar el cumplimiento del presente Anexo, con preaviso razonable

Para usuarios que no han facilitado email identificable, la anonimización aplicada impide la identificación retroactiva, lo cual constituye precisamente la garantía de privacidad del sistema.

10. Responsabilidad

El Responsable declara haber obtenido legitimación suficiente para tratar los datos personales que introduce en la plataforma, eximiendo al Encargado de cualquier responsabilidad derivada de un tratamiento sin base legal por parte del Responsable.