Documento legal

Acuerdo de Tratamiento de Datos (DPA)

Como prestador del Servicio, Tasator actúa como encargado del tratamiento de los datos personales que los despachos (responsables) incorporan a la plataforma. Este acuerdo forma parte de los Términos del Servicio (art. 28 RGPD).

Última actualización: 18 de mayo de 2026

1. Partes y objeto

Responsable: el despacho o profesional titular de la organización en Tasator. Encargado: Néstor Casola Jiménez (NIF 42237508D), titular de Tasator. El objeto es el tratamiento, por cuenta del responsable, de los datos personales contenidos en los escritos y datos de tasaciones que el responsable incorpora al Servicio.

2. Duración

Este acuerdo está vigente mientras lo esté el contrato de prestación del Servicio y hasta que se completen la devolución o supresión de los datos conforme al apartado 8.

3. Naturaleza y finalidad

El encargado trata los datos únicamente para prestar el Servicio: almacenamiento de escritos, lectura asistida por IA, generación de tasaciones de costas, minutas y cálculos asociados, y funciones de soporte. El tratamiento se realiza siguiendo las instrucciones documentadas del responsable, incluidas las derivadas del uso de la plataforma.

4. Categorías de datos e interesados

Datos identificativos y económicos contenidos en escritos y resoluciones judiciales (p. ej. partes procesales, importes, referencias del procedimiento) y los datos que el responsable decida introducir. Los interesados son las personas a las que se refieren dichos escritos y procedimientos. El responsable garantiza disponer de base jurídica para incorporar dichos datos al Servicio.

5. Obligaciones del encargado

Tratar los datos solo siguiendo instrucciones documentadas del responsable.
Garantizar la confidencialidad de las personas autorizadas a tratarlos.
Aplicar medidas técnicas y organizativas apropiadas (art. 32 RGPD): cifrado en tránsito, control de acceso y aislamiento de datos por organización.
Asistir al responsable, en la medida de lo posible, para atender los derechos de los interesados y para cumplir los arts. 32 a 36 RGPD.
Notificar al responsable sin dilación indebida las violaciones de seguridad de las que tenga conocimiento que afecten a sus datos.
A elección del responsable, suprimir o devolver los datos al finalizar la prestación y eliminar las copias existentes, salvo obligación legal de conservación.
Poner a disposición del responsable la información necesaria para demostrar el cumplimiento y permitir auditorías razonables.

6. Subencargados

El responsable autoriza con carácter general el recurso a los siguientes subencargados, sujetos a obligaciones de protección de datos equivalentes:

Supabase — base de datos, autenticación y almacenamiento (infraestructura en la UE).
Vercel Inc. — alojamiento de la aplicación y tareas programadas.
Mailgun (Sinch) — correo electrónico transaccional.
OpenAI y/o OpenRouter — procesamiento por IA del contenido de los escritos; no se usan los datos para entrenar modelos de terceros.
Stripe — procesamiento de pagos (datos de facturación, no de tasaciones).

El encargado informará de la incorporación o sustitución de subencargados con antelación razonable, dando al responsable la posibilidad de oponerse por motivos justificados de protección de datos.

7. Transferencias internacionales

Cuando un subencargado esté ubicado fuera del EEE, la transferencia se ampara en garantías adecuadas del Capítulo V del RGPD (cláusulas contractuales tipo y, en su caso, marcos de adecuación como el EU-US Data Privacy Framework).

8. Devolución y supresión

Al finalizar la prestación, o a solicitud del responsable, el encargado suprimirá o devolverá los datos y eliminará las copias, salvo que la normativa exija su conservación. El responsable puede exportar sus datos antes del cierre de la cuenta.

9. Auditorías

El encargado facilitará la información razonable que acredite el cumplimiento de este acuerdo y colaborará en las auditorías o inspecciones que el responsable, o un auditor por él designado, realice con preaviso razonable y sin comprometer la seguridad o la confidencialidad de otros clientes.

10. Brechas de seguridad

Ante una violación de la seguridad de los datos del responsable, el encargado lo notificará sin dilación indebida, aportando la información disponible para que el responsable pueda cumplir, en su caso, sus obligaciones de notificación a la autoridad de control y a los interesados.

1. Partes y objeto

3. Naturaleza y finalidad

4. Categorías de datos e interesados

5. Obligaciones del encargado

Tratar los datos solo siguiendo instrucciones documentadas del responsable.

Garantizar la confidencialidad de las personas autorizadas a tratarlos.

Aplicar medidas técnicas y organizativas apropiadas (art. 32 RGPD): cifrado en tránsito, control de acceso y aislamiento de datos por organización.

Asistir al responsable, en la medida de lo posible, para atender los derechos de los interesados y para cumplir los arts. 32 a 36 RGPD.

Notificar al responsable sin dilación indebida las violaciones de seguridad de las que tenga conocimiento que afecten a sus datos.

A elección del responsable, suprimir o devolver los datos al finalizar la prestación y eliminar las copias existentes, salvo obligación legal de conservación.

Poner a disposición del responsable la información necesaria para demostrar el cumplimiento y permitir auditorías razonables.

6. Subencargados

El responsable autoriza con carácter general el recurso a los siguientes subencargados, sujetos a obligaciones de protección de datos equivalentes:

Supabase — base de datos, autenticación y almacenamiento (infraestructura en la UE).

Vercel Inc. — alojamiento de la aplicación y tareas programadas.

Mailgun (Sinch) — correo electrónico transaccional.

OpenAI y/o OpenRouter — procesamiento por IA del contenido de los escritos; no se usan los datos para entrenar modelos de terceros.

Stripe — procesamiento de pagos (datos de facturación, no de tasaciones).