Prestación del servicio ÆGIS para que el responsable produzca análisis de cumplimiento, documentación legal y razonamiento sobre normativa europea. Duración: vigencia del contrato del servicio. Naturaleza: operaciones automatizadas. Finalidad: estrictamente ejecución del servicio contratado.

Datos típicos: identificativos profesionales, datos de contacto, contenido de consultas jurídicas del responsable, metadatos técnicos. Categorías especiales (Art. 9) e infracciones penales (Art. 10): VETADAS por defecto, salvo addendum específico en Enterprise.

El encargado tratará los datos solo siguiendo las instrucciones documentadas del responsable (Art. 28.3.a RGPD). Cualquier instrucción que el encargado considere contraria al RGPD será comunicada inmediatamente al responsable.

El encargado garantiza que las personas autorizadas a tratar los datos están sujetas a obligación de confidencialidad (Art. 28.3.b RGPD). Compromiso de secreto sin límite temporal posterior a la finalización del contrato.

Pseudonimización donde aplique · cifrado en tránsito (TLS 1.3) y en reposo · resiliencia: backups diarios, plan de continuidad · pruebas y evaluación regular: tests automatizados, revisión anual de la DPIA. Detalle técnico en el Anexo II del contrato.

Autorización general del responsable a la subcontratación, con derecho de oposición razonado. Categorías de subencargados actuales: proveedor de inferencia de IA (EE. UU. · DPF + SCC), proveedor de hosting (infraestructura europea), proveedor de CDN/DNS. El detalle nominativo se facilita al responsable bajo acuerdo de confidencialidad. Cualquier cambio se notifica con 30 días de antelación. Flow-down obligatorio de las obligaciones Art. 28.

El encargado asiste al responsable, mediante medidas técnicas y organizativas apropiadas, en el cumplimiento de su obligación de responder a las solicitudes de los interesados (Art. 12 a 22 RGPD). Asistencia también para EIPD (Art. 35-36), notificación de brechas (Art. 33-34) y consulta previa.

El encargado notifica al responsable sin dilación indebida tras tener conocimiento (SLA contractual: 24 horas desde la detección) con todo el detalle del Art. 33.3 RGPD. Plan de respuesta documentado en /aegis/brechas.

A elección del responsable: devolución de todos los datos en formato interoperable (export JSON + PDF) o supresión. Certificado de destrucción aportado por escrito. Plazo máximo: 30 días desde la solicitud, salvo obligación legal de conservación.

El encargado pone a disposición del responsable toda la información necesaria para demostrar el cumplimiento del Art. 28. Derecho del responsable a realizar auditorías (in situ o documentales) con preaviso razonable. Cooperación con autoridades de control.

Detalle de transferencias en Anexo IV. Cobertura jurídica: DPF UE-EE.UU. para destinatarios certificados + Cláusulas Contractuales Tipo 2021/914 como salvaguarda complementaria + Transfer Impact Assessment documentado.

Régimen del Art. 82 RGPD. Indemnización mutua por daños derivados del incumplimiento por la parte responsable.