Duetri
Legal

Acuerdo de Encargo del Tratamiento (DPA)

Última actualización: mayo de 2026

Aviso: Este documento es el Contrato de Encargado del Tratamiento (DPA) de Atrium y constituye el Anexo II de las Condiciones Generales. Prevalece sobre las Condiciones Generales en todo lo relativo al tratamiento de datos personales.

Versión 1.0 · Fecha de emisión: 29 de mayo de 2026

Preámbulo

El presente Contrato de Encargado del Tratamiento (en adelante, "DPA" o "Contrato") regula el tratamiento de datos personales que Duetri SL (sociedad en constitución), con NIF [pendiente] y domicilio en [pendiente] (en adelante, "el Encargado" o "Duetri"), realiza por cuenta del Cliente identificado en las Condiciones Generales de Atrium (en adelante, "el Responsable"), en el marco de la prestación del servicio Atrium.

Este DPA da cumplimiento al artículo 28 del Reglamento (UE) 2016/679 (RGPD) y a la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). Forma parte integral de las Condiciones Generales de Atrium y prevalece sobre estas en todo lo relativo al tratamiento de datos personales.

Parte I — Marco general del tratamiento

1 · Objeto

El Responsable encarga al Encargado el tratamiento de los datos personales necesarios para la prestación del servicio Atrium, en los términos descritos en este DPA y sus anexos. El Encargado tratará dichos datos única y exclusivamente conforme a las instrucciones documentadas del Responsable, al presente Contrato y a la legislación aplicable.

2 · Duración

El presente DPA estará en vigor desde la fecha de aceptación hasta la finalización del contrato principal (Condiciones Generales de Atrium). Las obligaciones posteriores a la finalización (devolución, supresión y confidencialidad) sobrevivirán a la terminación durante los plazos legales aplicables.

3 · Naturaleza y finalidad del tratamiento

| Aspecto | Descripción | |---|---| | Naturaleza del tratamiento | Recogida, almacenamiento, consulta, modificación, organización, comunicación interna en la plataforma, conservación, supresión y, en su caso, análisis automatizado mediante inteligencia artificial integrada. | | Finalidad principal | Prestación del servicio SaaS Atrium para la administración de fincas y comunidades de propietarios. | | Finalidades específicas | Gestión de comunidades, propietarios e inquilinos; convocatorias y actas; gestión económica (cuotas, derramas, gastos e ingresos); incidencias y comunicaciones; acceso al portal del vecino; generación de documentación; soporte y mantenimiento. | | Ámbito | El Encargado no utilizará los datos para finalidades propias distintas de la prestación del servicio, salvo lo previsto en apartado 13.3. |

Parte II — Datos personales tratados

4 · Tipo de datos personales y categorías de interesados

4.1. Categorías de datos personales

El tratamiento incluye, con carácter habitual, las siguientes categorías:

  • Datos identificativos: nombre, apellidos, DNI/NIE/pasaporte, dirección postal, dirección de correo electrónico, teléfono.
  • Datos económicos y financieros: cuenta bancaria (mandatos SEPA), historial de pagos, deudas, derramas, cuotas, facturación.
  • Datos profesionales (para empleados del despacho del Responsable): cargo, área, credenciales de acceso.
  • Datos sobre la vivienda o unidad: titularidad, coeficiente de participación, uso (vivienda, local, garaje, trastero), condición de residente o no residente.
  • Comunicaciones e incidencias: avisos, reclamaciones, mensajes intercambiados a través de la plataforma.
  • Datos de uso de la plataforma: registros de acceso (logs), dirección IP, actividad realizada (con fines de seguridad y trazabilidad).

4.2. Categorías especiales de datos (art. 9 RGPD)

El servicio Atrium no está diseñado para tratar categorías especiales de datos (datos de salud, biométricos, ideología, religión, orientación sexual u otros análogos). Si el Responsable decide cargar este tipo de información en la plataforma (por ejemplo, en actas o documentos), lo hará bajo su exclusiva responsabilidad y deberá garantizar la base jurídica adecuada conforme al art. 9 RGPD.

4.3. Datos de menores

El servicio Atrium no está dirigido a menores de 14 años. El Responsable se compromete a no recoger datos personales directamente de menores sin contar con la autorización adecuada de quienes ejerzan la patria potestad o tutela, conforme al art. 7 LOPDGDD. El Encargado no realiza un tratamiento diferenciado en función de la edad de los interesados.

4.4. Categorías de interesados

  • Personal del despacho del Responsable (empleados y colaboradores).
  • Miembros de los órganos de gobierno de las comunidades (presidente, vicepresidente, vocales).
  • Propietarios y copropietarios.
  • Inquilinos y residentes autorizados.
  • Proveedores y prestadores de servicios de las comunidades.
  • Visitantes o contactos puntuales registrados por el Responsable.

Parte III — Obligaciones de las partes

5 · Obligaciones del Encargado (Duetri)

El Encargado se compromete a:

a) Tratar los datos personales únicamente conforme a las instrucciones documentadas del Responsable, incluida la transferencia internacional, salvo cuando esté obligado por el Derecho de la Unión o de un Estado miembro. En tal caso, informará al Responsable de la exigencia legal antes del tratamiento, salvo que se prohíba expresamente por motivos importantes de interés público.

b) No utilizar los datos personales con fines propios distintos de la prestación del servicio.

c) Garantizar que las personas autorizadas a tratar los datos personales se han comprometido a respetar la confidencialidad (véase apartado 16).

d) Aplicar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo (Anexo III), conforme al art. 32 RGPD.

e) Respetar las condiciones de subcontratación previstas en apartado 8 para recurrir a otro encargado.

f) Asistir al Responsable, teniendo en cuenta la naturaleza del tratamiento y la información disponible, en las obligaciones que incumben al Responsable (véanse los apartados 12 y 13).

g) Suprimir o devolver al Responsable los datos personales una vez finalizada la prestación del servicio (véase apartado 15).

h) Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones del art. 28 RGPD, y permitir auditorías en los términos de apartado 14.

i) Llevar un registro de actividades de tratamiento efectuadas por cuenta del Responsable, conforme al art. 30.2 RGPD, que pondrá a disposición de la autoridad de control si esta lo requiere.

j) Notificar al Responsable, sin demora indebida, cualquier violación de seguridad de los datos personales (véase apartado 11).

6 · Obligaciones del Responsable (Cliente)

El Responsable se compromete a:

a) Cumplir con la normativa de protección de datos aplicable, especialmente en lo que respecta a la legitimación del tratamiento, la información a los interesados y el ejercicio de sus derechos.

b) Recoger el consentimiento o disponer de otra base jurídica válida para el tratamiento de los datos que introduzca o gestione en Atrium.

c) Informar a los interesados de que sus datos serán tratados por Duetri en calidad de Encargado del tratamiento, incluyendo esta información en la política de privacidad del Responsable o en los formularios pertinentes.

d) No introducir en Atrium datos manifiestamente excesivos respecto a las finalidades del servicio, ni categorías especiales de datos sin la base jurídica adecuada.

e) Realizar, cuando proceda, las evaluaciones de impacto y, en su caso, las consultas previas a la autoridad de control.

f) Mantener actualizada la información de contacto del propio Responsable y de las personas designadas como interlocutoras en materia de protección de datos.

g) Configurar correctamente los permisos y accesos de sus Usuarios y revisarlos periódicamente.

7 · Confidencialidad

El Encargado garantiza que las personas con acceso a los datos personales del Responsable (empleados, colaboradores y subencargados) están sujetas a obligaciones de confidencialidad de carácter contractual o legal, y han recibido formación adecuada en materia de protección de datos. Esta obligación pervive tras la finalización de su relación con el Encargado.

Parte IV — Subencargados y transferencias internacionales

8 · Subencargados del tratamiento

8.1. Autorización general previa

El Responsable autoriza expresamente al Encargado a recurrir a los subencargados (subprocesadores) relacionados en el Anexo II para la prestación del servicio.

8.2. Nuevos subencargados

El Encargado podrá incorporar nuevos subencargados o sustituir a los existentes, notificándolo al Responsable con al menos 30 días de antelación, por correo electrónico o mediante actualización publicada en duetri.com/legal/subprocesadores.

El Responsable podrá oponerse motivadamente, por escrito y dentro de los 15 días siguientes a la notificación. En caso de oposición fundada, las partes intentarán de buena fe encontrar una solución alternativa. Si no se alcanzase un acuerdo, el Responsable podrá resolver el contrato sin penalización, conservando el derecho a la devolución de los importes pagados por anticipado correspondientes a periodos no prestados.

8.3. Garantías exigidas

Todo subencargado deberá cumplir, mediante contrato escrito con el Encargado, las mismas obligaciones de protección de datos establecidas en este DPA, en particular las relativas a las medidas técnicas y organizativas. El Encargado responde frente al Responsable del cumplimiento por parte del subencargado.

9 · Transferencias internacionales de datos

9.1. Regla general: tratamiento en la Unión Europea

Los datos personales se almacenan y tratan, con carácter general, en infraestructuras ubicadas en la Unión Europea (Frankfurt, Alemania).

9.2. Funcionalidades de inteligencia artificial

Para la prestación de las funcionalidades de inteligencia artificial integradas en Atrium (asistente Scriba, OCR, redacción asistida, clasificación de incidencias y análogas), el Encargado utiliza modelos de Anthropic PBC, con sede en Estados Unidos. Estas funcionalidades:

a) Están disponibles exclusivamente para los usuarios con rol de gestión del despacho del Responsable (owner, admin, member). Los usuarios con rol viewer (solo lectura) y vecino (portal del propietario) no pueden invocar la IA en ningún caso. Esta restricción se aplica a nivel de servidor (middleware de la API), de forma que cualquier intento de invocación directa por un rol no autorizado es rechazado con un error de acceso prohibido.

b) Procesan los datos personales estrictamente necesarios para responder a cada solicitud (consulta del usuario y contexto agregado del tenant) y no se utilizan para el entrenamiento de modelos de Anthropic, conforme a las condiciones contractuales vigentes con dicho proveedor.

c) Se realizan al amparo de las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea (Decisión (UE) 2021/914) y, en su caso, del Data Privacy Framework mientras la correspondiente decisión de adecuación esté vigente.

El Encargado mantendrá a disposición del Responsable la documentación que acredite las garantías aplicadas.

Parte V — Seguridad y derechos de los interesados

10 · Medidas de seguridad

El Encargado implementa las medidas técnicas y organizativas descritas en el Anexo III, dimensionadas al riesgo conforme al art. 32 RGPD. Estas incluyen, entre otras, cifrado en tránsito y en reposo, control de accesos, segregación de tenants, copias de seguridad, registro de actividad y planes de continuidad.

El Encargado podrá actualizar sus medidas de seguridad para mejorarlas. Cualquier reducción material del nivel de protección se notificará al Responsable con preaviso razonable.

11 · Notificación de violaciones de seguridad

11.1. Plazo y forma

El Encargado notificará al Responsable, sin demora indebida y en cualquier caso dentro de las 72 horas siguientes a su conocimiento, cualquier violación de la seguridad de los datos personales tratados por cuenta del Responsable.

11.2. Contenido de la notificación

La notificación se realizará por correo electrónico al contacto designado por el Responsable e incluirá, en la medida en que la información esté disponible:

  • Descripción de la naturaleza de la violación, incluidas las categorías y el número aproximado de interesados y registros afectados.
  • Datos de contacto del Delegado de Protección de Datos del Encargado o persona designada.
  • Probables consecuencias de la violación.
  • Medidas adoptadas o propuestas para poner remedio a la violación y mitigar sus posibles efectos negativos.

11.3. Comunicación a autoridad y a interesados

La obligación de comunicar la violación a la autoridad de control y, en su caso, a los interesados, corresponde al Responsable. El Encargado prestará la asistencia razonable para que el Responsable pueda cumplir con dichas obligaciones.

11.4. Requerimientos de autoridades públicas

Si el Encargado recibe un requerimiento de una autoridad judicial, administrativa o de fuerzas y cuerpos de seguridad relativo a los datos personales tratados por cuenta del Responsable, lo notificará al Responsable sin demora indebida y antes de responder al requerimiento, salvo que dicha notificación esté legalmente prohibida o pueda comprometer una investigación en curso. En todo caso, el Encargado se limitará a facilitar la información estrictamente exigida por el requerimiento.

12 · Ejercicio de derechos de los interesados

Si un interesado dirige una solicitud de ejercicio de derechos (acceso, rectificación, supresión, oposición, limitación, portabilidad o revocación del consentimiento) directamente al Encargado, este la trasladará al Responsable sin demora indebida, junto con la información de la que disponga, para que el Responsable la atienda dentro de los plazos legales.

El Encargado pondrá a disposición del Responsable las herramientas y la información razonable para facilitar el ejercicio de los derechos por parte de los interesados.

Parte VI — Asistencia y auditoría

13 · Asistencia al Responsable

13.1. Evaluaciones de impacto

El Encargado asistirá al Responsable, en la medida en que esté en posesión de la información necesaria, en la realización de evaluaciones de impacto relativas a la protección de datos (EIPD) y, en su caso, en las consultas previas a la autoridad de control.

13.2. Información disponible

El Encargado pone a disposición del Responsable:

  • El presente DPA y sus Anexos.
  • La política de seguridad y la documentación técnica relevante (a través del portal de documentación del producto).
  • La lista actualizada de subprocesadores en duetri.com/legal/subprocesadores.
  • Los registros de actividad razonablemente solicitados, conforme a apartado 14.

13.3. Datos estadísticos agregados

El Encargado podrá generar y utilizar datos estadísticos agregados y completamente anonimizados (es decir, que no permitan identificar al Responsable, a interesados ni a comunidades concretas) con el fin de mejorar el servicio, prevenir incidencias y elaborar informes internos. Esta utilización no constituye tratamiento por cuenta propia de datos personales.

14 · Auditorías

14.1. Derecho a auditar

El Responsable tiene derecho a verificar, a su costa, el cumplimiento por parte del Encargado de las obligaciones recogidas en el presente DPA, mediante auditorías que se realizarán una vez al año (salvo en caso de incidente relevante o requerimiento legítimo de la autoridad de control, en cuyo caso podrán ser puntuales).

14.2. Procedimiento

  • Preaviso mínimo de 30 días naturales.
  • Duración máxima razonable (orientativamente, una semana laborable).
  • Realizadas en horario laboral y sin interferir indebidamente en la operativa del Encargado.
  • A cargo del propio Responsable o de un auditor independiente, sujeto a obligaciones de confidencialidad.
  • Sin acceso a datos de otros clientes ni a información considerada estrictamente confidencial del Encargado.

14.3. Alternativa razonable

Se entenderá cumplido el derecho de auditoría si el Encargado proporciona al Responsable certificaciones de terceros independientes (por ejemplo, ISO 27001 o equivalentes), informes de auditoría externos o cuestionarios de seguridad respondidos, siempre que cubran de forma razonable el objeto de la auditoría solicitada.

14.4. Costes

Los costes de la auditoría serán asumidos por el Responsable. Si la auditoría revelara un incumplimiento sustancial del Encargado, los costes razonables serán asumidos por este último.

Parte VII — Final del tratamiento

15 · Devolución o supresión de datos al finalizar

15.1. Opción del Responsable

Una vez finalizado el contrato principal, y a elección del Responsable, el Encargado:

a) Devolverá los datos personales mediante exportación estándar (CSV o XLS), conforme a apartado 18 de las Condiciones Generales; o

b) Suprimirá los datos personales.

A falta de instrucción expresa en los 30 días siguientes a la terminación, el Encargado procederá a la supresión.

15.2. Plazos de supresión

  • Datos en sistemas de producción: dentro de los 30 días siguientes a la terminación o a la instrucción de supresión.
  • Copias de seguridad: se purgan automáticamente en el ciclo de retención vigente (Anexo III) tras dicha supresión, sin nuevas copias de los datos del Responsable. En cualquier caso, los datos del Responsable no permanecerán en copias de seguridad más allá de 90 días desde la terminación.

15.3. Excepciones

El Encargado podrá conservar los datos estrictamente necesarios para el cumplimiento de obligaciones legales (por ejemplo, conservación de facturas, atención a requerimientos administrativos o judiciales), debidamente bloqueados, durante los plazos legales aplicables. Estos datos no serán objeto de tratamiento activo.

16 · Confidencialidad del personal

El Encargado garantiza que el personal a su servicio que tenga acceso a los datos personales del Responsable:

  • Está sujeto a un deber de confidencialidad de origen contractual o legal.
  • Ha recibido la formación necesaria en materia de protección de datos.
  • Tiene un perfil de acceso limitado a lo estrictamente necesario para el desempeño de sus funciones (principio de mínimo privilegio).

Parte VIII — Disposiciones finales

17 · Responsabilidad

17.1. Régimen general

Cada parte responderá frente a la otra por los daños y perjuicios efectivamente causados como consecuencia del incumplimiento de sus obligaciones bajo el presente DPA o la normativa aplicable.

17.2. Limitación

La responsabilidad del Encargado derivada o relacionada con este DPA queda sujeta a los límites de responsabilidad previstos en las Condiciones Generales (apartado 15 de las Condiciones Generales), salvo en supuestos de dolo, culpa grave o aquellos en que la limitación esté prohibida por imperativo legal.

17.3. Sanciones administrativas

Si una autoridad de control impone una sanción administrativa a una de las partes derivada de un incumplimiento imputable a la otra, esta última asumirá su parte proporcional conforme al grado de responsabilidad respectivo.

18 · Modificación y resolución

18.1. Modificación

El presente DPA podrá modificarse por acuerdo escrito de las partes o cuando sea necesario para adaptarlo a cambios normativos relevantes, mediante notificación al Responsable con preaviso mínimo de 30 días. Si el Responsable no aceptara la modificación, podrá resolver el contrato principal sin penalización conforme a las Condiciones Generales.

18.2. Resolución

La resolución del contrato principal conlleva la resolución del presente DPA, sin perjuicio de las obligaciones que sobrevivan conforme a apartado 2.

19 · Legislación y jurisdicción

El presente DPA se rige por la legislación española y europea aplicable en materia de protección de datos. Para la resolución de controversias se estará a lo previsto en la cláusula correspondiente de las Condiciones Generales.

20 · Aceptación

El Responsable, al aceptar las Condiciones Generales de Atrium, acepta igualmente este DPA y sus Anexos como parte integral del contrato.


Anexo I al DPA — Descripción del tratamiento

| Concepto | Detalle | |---|---| | Objeto del encargo | Tratamiento de datos personales necesarios para la prestación del servicio Atrium. | | Duración | Vigencia del contrato principal. | | Naturaleza del tratamiento | Almacenamiento, consulta, modificación, organización, conservación, supresión y, en su caso, análisis automatizado mediante IA. | | Finalidad | Administración de fincas y comunidades de propietarios, gestión económica, comunicaciones y soporte. | | Tipo de datos | Identificativos, económicos, profesionales, datos de vivienda, comunicaciones, datos de uso de la plataforma (véase apartado 4.1). | | Categorías de interesados | Personal del despacho, órganos de gobierno, propietarios, inquilinos, proveedores, residentes y contactos (véase apartado 4.4). |

Anexo II al DPA — Subprocesadores autorizados

A fecha de la presente versión, el Encargado utiliza los siguientes subprocesadores para la prestación del servicio Atrium:

| Subprocesador | Servicio prestado | Datos que trata | Localización | |---|---|---|---| | Neon Inc. | Base de datos PostgreSQL serverless (DB principal). | Toda la información del tenant (comunidades, propietarios, cuotas, facturas, incidencias, juntas, etc.). | Frankfurt, Alemania (UE). | | Railway Corp. | Hosting de la aplicación (Next.js + workers). | Datos en tránsito durante el procesamiento de peticiones. No almacena datos personales más allá de logs operativos. | EU West (Amsterdam, Países Bajos), 1 réplica. | | Anthropic PBC | Modelos de IA generativa (Scriba, OCR, redactar, clasificar). | Únicamente el contenido del mensaje cuando un usuario autorizado invoca la IA, junto con el contexto agregado del tenant necesario para la respuesta. No se utiliza para entrenamiento. Acceso restringido a roles owner, admin, member. | Estados Unidos. | | Resend Inc. | Envío de correo electrónico transaccional. | Direcciones de email y contenido de los correos enviados (facturas, recuperación de contraseña, avisos del sistema). | UE / EEUU. | | Sentry (Functional Software, Inc.) | Monitorización de errores y rendimiento. | Trazas de error y datos técnicos de diagnóstico. No se envía PII de forma deliberada. | UE (organización configurada en región europea). |

Servicios complementarios que no son subprocesadores RGPD

A efectos de transparencia, los siguientes proveedores intervienen en el ecosistema de Atrium pero no tratan datos personales de los interesados del Responsable, por lo que no tienen la condición de subprocesadores conforme al RGPD:

  • GitHub, Inc.: alojamiento del código fuente del producto. No procesa datos del Cliente ni de los interesados.
  • GoDaddy LLC: registro y gestión DNS del dominio duetri.com. No procesa datos personales del Cliente.

Servicios planificados (aún no activos)

Los siguientes servicios están previstos en la arquitectura del producto pero no se encuentran activos en producción a la fecha de esta versión. Su activación se notificará al Responsable conforme a apartado 8.2 y se incorporarán a este Anexo II en la versión correspondiente:

  • Cloudflare R2: almacenamiento de archivos S3-compatible. Actualmente los documentos se guardan en filesystem local del hosting.
  • PostHog Inc.: analítica de producto y feature flags. Sin integración activa en producción.

Publicación y actualización

La versión vigente del presente Anexo II se publicará y mantendrá actualizada en duetri.com/legal/subprocesadores (página en preparación; el Encargado se compromete a publicarla en un plazo razonable desde la firma del primer contrato comercial con un cliente, no superior a 60 días naturales). Mientras tanto, esta versión documental hace las funciones de lista oficial. Cualquier alta o sustitución de subprocesadores se notificará al Responsable conforme a apartado 8.2.

Anexo III al DPA — Medidas técnicas y organizativas de seguridad

El Encargado aplica las siguientes medidas, dimensionadas al riesgo:

Cifrado y comunicaciones

  • TLS 1.2 o superior en todas las comunicaciones.
  • Cifrado en reposo de la base de datos (AES-256).
  • Cifrado de copias de seguridad.

Control de accesos

  • Autenticación individual para cada usuario.
  • Política de contraseñas robusta y autenticación de doble factor (2FA) disponible, activable por el usuario.
  • Principio de mínimo privilegio: cada usuario accede únicamente a los datos necesarios para su rol.
  • Aislamiento multi-tenant por tenant_id y Row-Level Security (RLS) en base de datos.
  • Acceso del personal de Duetri a datos de cliente solo cuando sea necesario para soporte o incidente, registrado y trazable.

Copias de seguridad y continuidad

  • Copias de seguridad diarias.
  • Retención conforme al plan vigente en cada momento (mínimo 7 días).
  • Procedimiento de recuperación documentado.

Trazabilidad y auditoría

  • Registros de acceso y de actividad de usuarios.
  • Logs de seguridad conservados durante un plazo razonable conforme a la normativa.
  • Monitorización continua de la infraestructura y alertas automatizadas.

Gestión de incidentes

  • Procedimiento documentado de detección, contención, análisis y notificación de incidentes.
  • Notificación al Responsable conforme a apartado 11 (72 horas).

Personal

  • Compromisos de confidencialidad firmados por todo el personal con acceso a datos.
  • Formación en protección de datos y seguridad.

Proveedores

  • Selección de subencargados con garantías adecuadas (Anexo II).
  • DPAs firmados con cada subencargado.

Mejora continua

  • Revisión periódica de las medidas conforme a la evolución de la tecnología y los riesgos.

Duetri SL (en constitución) · Contacto: contacto@duetri.com · Web: https://duetri.com