Anexo de tratamiento de datos (DPA) — plantilla B2B
Este documento es una plantilla de partida entre (A) el Responsable del tratamiento (p. ej. despacho, empresa o organismo que suscribe el Servicio) y (B) JX Labs, S.A. de C.V. ("JX Labs", el Encargado), respecto del uso de Juxa CRM. Debe ser revisado y adaptado por asesoría legal antes de firma; los corchetes indican datos a completar.
1. Documentos incorporados
Este anexo complementa: [contrato marco / orden de compra / términos en línea aplicables]. En caso de conflicto sobre protección de datos, prevalecerá lo más protector para los titulares que permita la ley aplicable al tratamiento, salvo pacto escrito distinto válido.
2. Objeto, naturaleza y duración
El Encargado tratará datos personales únicamente para permitir al Responsable utilizar el Servicio (multi-workspace, CRM, módulos legales u otros contratados), durante la vigencia de la cuenta y según la política de retención acordada o la publicada en Política de retención, en lo que resulte aplicable.
3. Descripción del tratamiento (Anexo A operativo)
- Categorías de titulares: según los datos que el Responsable cargue (clientes, contrapartes, empleados, menores solo si la ley lo permite, etc.).
- Categorías de datos: identificativos, contacto, laborales, patrimoniales, datos judiciales o de expediente, contenido de documentos, metadatos técnicos.
- Operaciones: recogida, almacenamiento, organización, consulta, cesión a subencargados esenciales, borrado o anonimización al fin del servicio, copias de seguridad acotadas.
- Funciones de inteligencia artificial: cuando el Responsable o sus usuarios las activen, el Encargado (y los subencargados de IA indicados) procesarán los mensajes y el contexto incluido (p. ej. texto seleccionado, adjuntos o extractos de archivos del expediente) para generar respuestas asistidas. El Responsable es quien decide qué datos introduce y debe evaluar base jurídica e información al titular.
- Programa opcional de contribución de documentos: flujo separado sujeto a opt-in y reglas de plan; puede implicar anonimización y almacenamiento para fines de mejora de modelos según los términos del Servicio. Si el Responsable prohíbe dicho programa a sus usuarios, deberá documentarlo por política interna y configuración contractual si existe.
4. Instrucciones del Responsable
El Encargado tratará los datos solo según instrucciones documentadas: configuración del workspace, acciones de usuarios autorizados, este anexo y leyes obligatorias. Instrucciones adicionales por escrito podrán canalizarse por [correo / ticket] salvo que sean imposibles o ilegales para el Encargado.
5. Subencargados
Queda autorizado el recurso a subencargados necesarios para la prestación del Servicio. Lista orientativa y matriz por función: Subencargados. El Encargado informará de cambios relevantes según el mecanismo acordado (p. ej. aviso con plazo de objeción razonable o actualización de documentación de confianza).
El Encargado asegurará, cuando la ley lo exija, que los subencargados queden sujetos a obligaciones equivalentes en materia de protección de datos.
6. Transferencias internacionales
Si el tratamiento implica transferencias fuera del país de residencia de los titulares o del Responsable, las partes documentarán el mecanismo aplicable (p. ej. cláusulas contractuales tipo, decisiones de adecuación, normas corporativas vinculantes u otras herramientas válidas al momento de la transferencia). El Responsable reconoce que ciertos subencargados de nube e IA pueden procesar datos en [lista de regiones a completar].
7. Confidencialidad y seguridad
El Encargado aplicará medidas técnicas y organizativas apropiadas al riesgo (acceso restringido, cifrado en tránsito, segregación lógica entre workspaces donde proceda, gestión de credenciales, revisión de permisos). El personal autorizado queda sujeto a obligación de confidencialidad.
8. Asistencia al Responsable
El Encargado cooperará de forma razonable en: ejercicio de derechos de los titulares (acceso, rectificación, supresión, oposición, limitación, portabilidad cuando aplique); acreditación de cumplimiento ante el Responsable; y, si se contrata, apoyo en análisis de impacto (DPIA) o consultas previas a autoridades, en la medida de la información disponible en el Servicio.
9. Violaciones de seguridad de los datos personales
El Encargado notificará al Responsable sin demora indebida si toma conocimiento de una brecha que afecte datos personales tratados en el marco de este encargo, con la información razonablemente disponible para permitir al Responsable cumplir sus obligaciones de notificación a autoridades o titulares cuando corresponda.
10. Auditoría
El Responsable podrá auditar o solicitar información sobre el cumplimiento de este anexo con [frecuencia máxima / preaviso / formato cuestionario], sin perturbar la seguridad de otros clientes ni exigir acceso a datos que no sean los del Responsable.
11. Supresión o devolución al término
Finalizado el Servicio, el Encargado suprimirá o devolverá los datos personales del Responsable según lo acordado y salvo obligación legal de conservación. Las copias de seguridad se purgarán en los plazos técnicos habituales salvo requisito en contrario.
12. Registro de categorías de tratamiento (referencia)
El Encargado podrá mantener un registro interno de actividades de tratamiento en el encargo. El Responsable mantiene la responsabilidad frente a sus propios titulares y el registro que corresponda como responsable.
Plantilla alineada a flujos de producto (IA, expediente, subencargados). Última revisión de contenido en código: abril de 2026.