Addendum de Protección de Datos

Introducción

El presente Addendum de Protección de Datos (en adelante, "Addendum") regula la relación entre AXIOMA LEGALTECH, S.L. (en adelante, "Axioma") y el Usuario profesional del servicio Axioma Draft, en aquellos casos en que el Usuario introduzca en la plataforma datos personales de terceros (típicamente, clientes de su despacho, contrapartes procesales u otros interesados) en el marco del procedimiento judicial o administrativo para el que solicita la generación de un escrito.

En esa situación, el Usuario actúa como Responsable del tratamiento de dichos datos conforme al artículo 4.7 del Reglamento (UE) 2016/679 (en adelante, "RGPD") y Axioma actúa como Encargado del tratamiento conforme al artículo 4.8 del RGPD.

Aceptación. El presente Addendum forma parte integrante de los Términos y Condiciones del servicio y se acepta mediante la casilla de verificación correspondiente habilitada en el proceso de contratación. Sin su aceptación expresa no es posible contratar el servicio.

Clientes con DPA bilateral. Despachos y organizaciones que requieran un contrato de encargo de tratamiento firmado bilateralmente pueden solicitarlo escribiendo a [email protected]. En tales casos, el contrato firmado prevalecerá sobre el presente Addendum.

1. Objeto y marco normativo

1.1. El presente Addendum da cumplimiento a las obligaciones establecidas en el artículo 28 del RGPD y en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), regulando el tratamiento de datos personales que el Usuario, en su calidad de Responsable, encarga a Axioma en su calidad de Encargado, para la prestación del servicio Axioma Draft.

1.2. El presente Addendum se complementa con la Política de Privacidad publicada en axiomalegaltech.com/privacidad, que regula el tratamiento de los datos del propio Usuario en el que Axioma actúa como Responsable.

2. Objeto y finalidad del encargo

2.1. Axioma tratará los datos personales facilitados por el Usuario exclusivamente con la finalidad de prestar el servicio contratado, consistente en la generación automatizada de borradores de escritos jurídicos a partir de la información facilitada por el Usuario.

2.2. El tratamiento se realiza mediante procesamiento automatizado basado en modelos de lenguaje de gran escala (LLM) y un corpus jurisprudencial propio curado por Axioma.

3. Tipos de datos personales y categorías de interesados

3.1. Los datos personales que el Usuario puede introducir en la plataforma incluyen, entre otros: datos identificativos (nombre, apellidos, documento de identidad), datos de contacto (domicilio, teléfono, correo electrónico), datos económico-patrimoniales (cuantías reclamadas, datos de contratos, información financiera), datos bancarios y datos procesales.

3.2. Las categorías de interesados comprenden clientes del Usuario, contrapartes procesales, y terceros intervinientes relevantes para el procedimiento.

3.3. Categorías especiales de datos. El servicio no está diseñado para el tratamiento sistemático de datos de categorías especiales del artículo 9 del RGPD. El Usuario se obliga a minimizar su introducción y, cuando resulten imprescindibles (por ejemplo, argumentación basada en situación de vulnerabilidad), a introducirlos únicamente en la medida estrictamente necesaria.

4. Arquitectura de privacidad y plazos de retención

4.1. Axioma aplica una arquitectura de minimización de datos por diseño y por defecto (art. 25 RGPD), con las siguientes características:

• El procesamiento por los modelos de lenguaje se realiza en memoria volátil, sin retención del texto enviado a los mismos más allá del tiempo estrictamente necesario para generar la respuesta.
• El escrito generado en formato DOCX se almacena durante un máximo de veinticuatro (24) horas, transcurridas las cuales se elimina automáticamente.
• Los datos del caso introducidos por el Usuario (case model) se conservan durante un máximo de veinticuatro (24) horas desde el cierre de la sesión, transcurridas las cuales se purgan automáticamente.

4.2. Emisión concurrente de datos agregados para fines analíticos. De forma simultánea al tratamiento operacional, y por diseño técnico en el momento mismo de generación, Axioma emite hacia sistemas analíticos independientes (BigQuery) una selección de campos discretos y categorizados que por su naturaleza no permiten identificar al interesado. El case model como tal nunca llega al sistema analítico: la separación entre datos personales operacionales y datos agregados analíticos se produce en origen, no como proceso de extracción posterior. Los campos emitidos se limitan a:

• Tipologías categorizadas (tipo de producto, clase de procedimiento, motivos alegados) expresadas como enumeraciones cerradas.
• Rangos o buckets en lugar de cifras exactas.
• Divisiones geográficas amplias (provincia o comunidad autónoma), nunca direcciones concretas.
• Agregados temporales (año o mes), nunca fechas exactas.
• Métricas operativas del sistema.

4.3. Datos excluidos del sistema analítico. En ningún caso se transfieren a los sistemas analíticos: nombres, documentos de identidad, direcciones postales, números de cuenta bancaria, importes exactos, fechas exactas, textos narrativos libres, ni cualquier otro dato susceptible de identificar directa o indirectamente al interesado.

4.4. Control adicional mediante DLP. Como medida complementaria de defensa en profundidad, los datos almacenados en los sistemas analíticos son objeto de escaneo automatizado mediante Data Loss Prevention API de Google Cloud, que detecta y neutraliza cualquier presencia residual inadvertida de información sensible.

4.5. Naturaleza de los datos agregados. Los datos así obtenidos, al carecer estructuralmente de elementos identificativos, no constituyen datos personales a los efectos del considerando 26 del RGPD, y quedan fuera del ámbito material del presente Addendum. Su titularidad corresponde a Axioma conforme al artículo 133 del texto refundido de la Ley de Propiedad Intelectual, sin perjuicio de los derechos del Responsable y de los interesados sobre los datos personales originarios mientras conserven tal condición.

4.6. Exclusión expresa de entrenamiento de modelos de IA. Axioma NO utilizará los datos tratados en virtud del presente Addendum, ni siquiera en su versión agregada, para el entrenamiento, afinamiento (fine-tuning) o mejora de modelos propios de inteligencia artificial. Cualquier modificación futura de esta exclusión requerirá notificación previa al Usuario con el preaviso previsto en la cláusula 11.

5. Obligaciones de Axioma como Encargado

5.1. Axioma se obliga a:

• Tratar los datos únicamente conforme a las instrucciones del Usuario implícitas en la utilización del servicio, salvo obligación legal que exija otra cosa.
• Garantizar que su personal autorizado está sujeto a obligación de confidencialidad.
• Aplicar las medidas técnicas y organizativas descritas en la página de Seguridad y Transparencia (axiomalegaltech.com/seguridad).
• No subcontratar ninguna parte del tratamiento a subencargados distintos de los enumerados en la cláusula 6, salvo con notificación previa.
• Asistir al Usuario, mediante medidas técnicas apropiadas, para responder a solicitudes de derechos de los interesados dentro de plazos razonables.
• Asistir al Usuario en el cumplimiento de sus obligaciones de notificación de brechas, DPIA y consultas previas, cuando resulte aplicable.
• Suprimir los datos personales conforme a los plazos de la cláusula 4, salvo obligación legal de conservación.
• Poner a disposición del Usuario la información necesaria para acreditar el cumplimiento de las obligaciones del presente Addendum.

5.2. Deber de secreto reforzado. Axioma reconoce que los datos personales tratados pueden estar amparados por el secreto profesional del abogado conforme al artículo 542.3 de la Ley Orgánica 6/1985, del Poder Judicial. En consecuencia, se compromete a no vulnerar dicho secreto y a aplicar las medidas necesarias para su protección, incluso frente a requerimientos de autoridades cuya juridicidad o procedimiento sea dudoso, notificando al Usuario antes de cualquier comunicación que no esté legalmente prohibida comunicar.

6. Subencargados autorizados

6.1. El Usuario autoriza a Axioma a recurrir a los siguientes subencargados para la prestación del servicio:

6.2. Axioma ha activado las configuraciones específicas de Vertex AI que garantizan que los prompts y respuestas no se utilizan para entrenar modelos de Google.

6.3. Modificación del listado de subencargados. Axioma notificará al Usuario con al menos treinta (30) días naturales de antelación cualquier modificación del listado (incorporación o sustitución). Dicha notificación se realizará mediante aviso en la página de Seguridad y Transparencia y, cuando el Usuario haya facilitado email de contacto, también por esa vía. El Usuario podrá oponerse motivadamente a la modificación. La oposición no resuelta dará derecho al Usuario a resolver la relación contractual sin penalización. La ausencia de oposición expresa en el plazo constituirá autorización tácita.

7. Transferencias internacionales

7.1. El procesamiento principal se realiza en centros de datos situados en la Unión Europea. Determinadas entidades matrices de los subencargados (Google LLC, Stripe Inc., Resend Inc., Cloudflare Inc.) están domiciliadas en Estados Unidos y pueden acceder puntualmente a datos con fines de soporte o administración global.

7.2. Dichas transferencias quedan amparadas por: (i) la Decisión de adecuación EU-US Data Privacy Framework para entidades certificadas; (ii) las Cláusulas Contractuales Tipo aprobadas por la Decisión 2021/914 de la Comisión Europea; (iii) las medidas suplementarias aplicables conforme a la doctrina Schrems II.

7.3. Axioma notificará al Usuario sin dilación injustificada cualquier requerimiento por parte de autoridades de terceros países, salvo prohibición legal.

8. Notificación de brechas de seguridad

8.1. Axioma notificará al Usuario cualquier brecha de seguridad que afecte a los datos personales objeto del Addendum en un plazo máximo de veinticuatro (24) horas desde su conocimiento efectivo, a fin de permitir al Usuario cumplir con sus obligaciones de notificación conforme a los artículos 33 y 34 del RGPD.

8.2. La notificación incluirá descripción de la naturaleza de la brecha, datos de contacto de Axioma, consecuencias previsibles y medidas adoptadas, ampliándose la información de forma progresiva cuando esté disponible.

8.3. Para Usuarios que no hayan facilitado email de contacto, la notificación podrá realizarse adicionalmente mediante publicación en la página de Seguridad y Transparencia, conforme al artículo 34.3.c del RGPD.

9. Asistencia en derechos de los interesados

9.1. Cuando un interesado dirija al Usuario una solicitud de ejercicio de derechos (arts. 15 a 22 RGPD) cuya atención requiera actuación de Axioma, el Usuario podrá canalizar dicha solicitud a [email protected], y Axioma asistirá técnicamente dentro de plazos razonables.

9.2. Si un interesado se dirigiera directamente a Axioma, éste comunicará la solicitud al Usuario sin dilación, absteniéndose de dar respuesta directa salvo instrucción expresa del Usuario.

9.3. El Usuario manifiesta disponer de la base legal apropiada para el tratamiento de los datos del interesado final y haber cumplido, cuando proceda, con el deber de información de los artículos 13 y 14 del RGPD.

10. Devolución o destrucción de datos

10.1. La destrucción de los datos personales se realiza automáticamente conforme a los plazos de la cláusula 4, sin necesidad de solicitud específica del Usuario.

10.2. El Usuario puede solicitar en cualquier momento la supresión anticipada de una sesión concreta escribiendo a [email protected], indicando el identificador de la orden o sesión afectada.

10.3. Los datos agregados a los que se refiere la cláusula 4, al no constituir datos personales, quedan fuera del ámbito de la obligación de supresión.

11. Modificaciones del Addendum

11.1. Axioma podrá modificar el presente Addendum para reflejar cambios normativos, técnicos u operativos. Las modificaciones sustanciales se notificarán mediante aviso visible en el sitio web con al menos quince (15) días naturales de antelación.

11.2. El Usuario que no acepte las modificaciones podrá dejar de utilizar el servicio, sin que ello afecte a las obligaciones previamente contraídas. La continuación del uso del servicio tras la entrada en vigor constituirá aceptación tácita.

11.3. Las órdenes contratadas antes de la entrada en vigor de una modificación se regirán por el Addendum vigente en el momento de la contratación.

12. Responsabilidad

12.1. El régimen de responsabilidad aplicable al presente Addendum se rige por lo dispuesto en la cláusula 9 de los Términos y Condiciones del servicio, con las especialidades propias de la normativa de protección de datos.

12.2. La responsabilidad de Axioma como Encargado se rige, en su caso, por el artículo 82 del RGPD. No obstante, Axioma solo responderá de los daños causados por el tratamiento cuando haya incumplido específicamente las obligaciones del RGPD dirigidas a los encargados o cuando haya actuado al margen o en contra de las instrucciones del Usuario.

13. Legislación aplicable y jurisdicción

13.1. El presente Addendum se rige por el RGPD, la LOPDGDD y demás normativa española y de la Unión Europea aplicable en materia de protección de datos.

13.2. Para la resolución de controversias, se aplicará lo dispuesto en la cláusula 20 de los Términos y Condiciones del servicio.