Anexo al Partner Agreement aplicable · Programa de Partners de AiKit
Versión: 2.0 — Mayo 2026
Este Acuerdo de Procesamiento de Datos para Partners (en adelante, "DPA v2 Partners" o "DPA") establece las bases legales y operativas para el tratamiento de datos personales que se produce en el marco de la relación tripartita entre AIKIT RESEARCH, S.A. ("AiKit"), el Partner y los Clientes Finales atendidos por el Partner mediante la Plataforma AiKit.
Este DPA se realiza en cumplimiento del Reglamento (UE) 2016/679 General de Protección de Datos ("RGPD"), de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales ("LOPDGDD") y demás normativa aplicable.
Este DPA forma parte integrante e inseparable del Partner Agreement suscrito entre las Partes en el tier correspondiente (Referral, Reseller o Reseller Plus). En caso de conflicto entre el Partner Agreement y este DPA en lo relativo al tratamiento de datos personales, prevalecerán las disposiciones del presente DPA.
Los términos en mayúsculas no definidos en este DPA tendrán el significado que les atribuyen el RGPD, la LOPDGDD o el Partner Agreement, según corresponda.
En el marco del Programa de Partners de AiKit, las relaciones de tratamiento de datos personales se estructuran en un esquema triangular entre tres entidades:
(a) El Cliente Final: la persona física o jurídica que adquiere y utiliza la Plataforma para sus propias necesidades operativas, y que actúa como Responsable del Tratamiento ("Responsable") respecto de los datos que carga, genera o procesa en la Plataforma ("Datos del Cliente Final").
(b) AiKit: titular de la Plataforma, que actúa frente al Cliente Final como Encargado del Tratamiento ("Encargado") en virtud del Acuerdo de Procesamiento de Datos directo entre el Cliente Final y AiKit (el "DPA principal Cliente-AiKit").
(c) El Partner: empresa que en el marco del Programa puede asumir distintos roles dependiendo de la naturaleza de su intervención sobre los Datos del Cliente Final, conforme a la Cláusula 2 siguiente.
El presente DPA v2 Partners regula exclusivamente las relaciones de tratamiento entre AiKit y el Partner. No sustituye ni modifica:
(a) El DPA principal entre el Cliente Final y AiKit, vigente en cada caso; (b) Los acuerdos directos de tratamiento de datos que el Partner deba suscribir con sus propios Clientes Finales en el marco de los Servicios Profesionales que les preste, los cuales son responsabilidad exclusiva del Partner.
┌─────────────────────────┐
│ CLIENTE FINAL │
│ (Responsable del │
│ Tratamiento) │
└────┬───────────────┬────┘
│ │
│ DPA │ Contrato directo
│ Principal │ Servicios Profesionales
│ Cliente↔AiKit │ Cliente↔Partner
▼ ▼
┌──────────┐ ┌──────────┐
│ AiKit │────│ PARTNER │
│(Encarg.) │ │ │
└──────────┘ └──────────┘
▲ ▲
│ │
└─ Partner Agreement ─┘
+ DPA v2 Partners
El rol del Partner respecto de los Datos del Cliente Final variará según el tipo de actividad concreta que esté realizando en cada momento. Las Partes acuerdan los siguientes escenarios:
Cuando el Partner acceda, manipule o procese Datos del Cliente Final por cuenta y bajo instrucciones del Cliente Final (por ejemplo, en la prestación de Servicios Profesionales tales como configuración, integración, soporte L1, formación o desarrollo de Apps a Medida que impliquen acceso a dichos datos), el Partner actuará como Encargado del Tratamiento del Cliente Final.
Esta relación se regirá por un contrato directo entre el Partner y el Cliente Final que cumpla los requisitos del artículo 28 del RGPD. AiKit no es parte de dicho contrato y no asume responsabilidad por su contenido o cumplimiento.
Cuando el Partner acceda a Datos del Cliente Final a través de funcionalidades de la Plataforma puestas a disposición por AiKit (por ejemplo, paneles del Partner Hub que muestran información agregada o autorizada del Cliente Final), el Partner actuará como Subencargado de AiKit, previa autorización del Cliente Final conforme al DPA principal.
En este escenario, las obligaciones del Partner se rigen por el presente DPA v2 Partners, y AiKit responde frente al Cliente Final conforme al DPA principal.
Cuando el Partner trate datos personales para sus propios fines (por ejemplo, gestión comercial de su pipeline en el Partner Hub, marketing a su propia base de contactos, gestión de su personal certificado), el Partner actuará como Responsable Independiente del Tratamiento, asumiendo de forma exclusiva todas las obligaciones del RGPD respecto de dichos tratamientos.
Las Partes documentarán, cuando resulte necesario para evitar incertidumbre, el rol que corresponde a un tratamiento concreto. En caso de duda, prevalecerá el principio de protección máxima del Cliente Final, asumiendo el Partner las obligaciones del rol más exigente que pueda aplicar.
Los tratamientos de datos personales que realice el Partner en el marco del Partner Agreement tendrán como finalidad exclusiva:
(a) La prestación de Servicios Profesionales al Cliente Final; (b) La gestión de la relación comercial Partner–AiKit (registro de oportunidades, soporte L1, escalado a L2, formación, certificaciones); (c) La gestión interna del Partner conforme a su rol de Responsable Independiente.
Los datos que pueden ser tratados incluyen, sin carácter exhaustivo:
(a) Datos de identificación y contacto de empleados y representantes del Cliente Final; (b) Datos profesionales y operativos contenidos en la Plataforma del Cliente Final; (c) Datos de identificación de personas de contacto del Partner; (d) Datos de uso, incidencias y configuración técnica.
Las categorías especiales de datos (artículo 9 RGPD) no son objeto de tratamiento estándar en la Plataforma. Si el Cliente Final introdujese datos de tales categorías, el Partner se compromete a aplicar las medidas de seguridad reforzadas correspondientes.
Empleados, colaboradores, clientes, proveedores y demás personas vinculadas al Cliente Final, así como personas vinculadas al Partner.
La duración del tratamiento por el Partner se extiende durante la vigencia del Partner Agreement y, respecto de cada Cliente Final concreto, durante la duración del contrato del Partner con dicho Cliente Final, sin perjuicio de los plazos de conservación legal y de las obligaciones supervivientes.
Las Partes confirman, reproducen y aceptan la instrucción fundamental que rige el ecosistema AiKit: los Datos del Cliente Final no podrán ser utilizados, en ningún caso, para el entrenamiento, desarrollo o mejora de modelos de inteligencia artificial, ni propios ni de terceros, salvo consentimiento expreso, específico, informado e inequívoco del Cliente Final, manifestado fuera del marco contractual general.
Esta prohibición vincula tanto a AiKit como al Partner, y se extiende a cualquier tratamiento que pudiera tener efectos similares al entrenamiento (fine-tuning, embeddings persistentes con fines de modelo, etc.).
No se considera entrenamiento, a estos efectos: (i) el procesamiento en tiempo real de los datos para producir respuestas a las consultas del propio Cliente Final; (ii) los logs operativos y de auditoría con finalidad de seguridad y soporte, conservados conforme a la política de retención.
Cuando el Partner actúe en cualquiera de los roles descritos en las Cláusulas 2.1 o 2.2 anteriores, asumirá las siguientes obligaciones, sin perjuicio de las que adicionalmente le correspondan por contrato directo con el Cliente Final:
Tratar los datos personales únicamente siguiendo las instrucciones documentadas del Cliente Final (cuando actúe como su Encargado) o de AiKit (cuando actúe como Subencargado), absteniéndose de tratamientos para finalidades propias.
Garantizar que todas las personas autorizadas para tratar los datos personales (empleados, colaboradores, subcontratistas) estén sujetas a obligaciones de confidencialidad equivalentes a las del presente DPA, ya sea por contrato o por imperativo legal.
Implementar y mantener las medidas técnicas y organizativas apropiadas conforme al artículo 32 RGPD, en línea con las medidas detalladas en el Anexo Técnico de Seguridad de este DPA.
No subcontratar el tratamiento a terceros sin la autorización previa, escrita y específica del Cliente Final (cuando aplique) y/o de AiKit (cuando AiKit sea el responsable de la cadena). En caso de autorización, imponer al subencargado ulterior obligaciones de protección de datos equivalentes a las del presente DPA, manteniendo el Partner la plena responsabilidad ante AiKit y el Cliente Final.
Asistir razonablemente al Cliente Final y a AiKit en el cumplimiento de sus obligaciones de:
(a) Atención de derechos de los interesados (acceso, rectificación, supresión, oposición, limitación, portabilidad); (b) Notificación y gestión de violaciones de seguridad; (c) Realización de evaluaciones de impacto (DPIAs) y consultas previas a la autoridad de control; (d) Cualquier otra obligación derivada del RGPD que requiera colaboración del encargado.
Notificar a AiKit cualquier violación de seguridad de datos personales sin dilación indebida y, en cualquier caso, en un plazo máximo de veinticuatro (24) horas desde su conocimiento, aportando toda la información razonablemente disponible para que AiKit pueda, a su vez, cumplir con sus obligaciones frente al Cliente Final y, en su caso, frente a la AEPD.
Informar a AiKit de cualquier solicitud legalmente vinculante de divulgación de datos por parte de una autoridad pública o judicial, salvo que la ley prohíba expresamente dicha notificación. En todo caso, el Partner limitará su respuesta al mínimo legalmente exigible.
Al cese del tratamiento, devolver al Cliente Final o a AiKit (según le sea instruido) todos los datos personales tratados, suprimiéndolos de sus sistemas activos en un plazo máximo de treinta (30) días naturales, salvo obligación legal de conservación. La supresión deberá realizarse de forma segura, evitando la posibilidad de recuperación.
Poner a disposición del Cliente Final o de AiKit, previa solicitud razonable y con la debida confidencialidad, la información necesaria para demostrar el cumplimiento de las obligaciones del presente DPA, así como permitir y contribuir a auditorías razonables por una vez al año natural, salvo que existan indicios de incumplimiento que justifiquen auditorías adicionales.
Mantener un registro de actividades de tratamiento conforme al artículo 30 RGPD, identificando las operaciones realizadas en su rol respecto de la Plataforma y del Cliente Final.
El Partner, mediante la aceptación de este DPA, otorga una autorización general a AiKit para subcontratar a los proveedores (subencargados) necesarios para la prestación de los Servicios.
AiKit publica y mantiene actualizada la lista de subencargados principales en la URL pública:
aikit.io/legal/subprocessors
Esta lista identifica a cada subencargado por nombre, ubicación geográfica del tratamiento y categoría de servicios prestados.
AiKit se compromete a notificar al Partner, con una antelación mínima de treinta (30) días naturales, cualquier cambio previsto en la lista de subencargados (adición o sustitución), mediante:
(a) Actualización de la lista pública con indicación de la fecha efectiva del cambio; (b) Comunicación específica al Partner a través del Partner Hub o por correo electrónico a la dirección designada por el Partner para notificaciones.
El Partner podrá manifestar oposición razonada a un nuevo subencargado dentro del plazo de notificación, expresando los motivos concretos relativos a protección de datos. AiKit valorará la oposición y, en caso de no poder evitar la subcontratación, ofrecerá al Partner alternativas razonables o, en última instancia, el Partner tendrá derecho a resolver el Partner Agreement conforme a la Cláusula 15.2 de dicho Acuerdo, sin penalización y conservando las comisiones recurrentes posteriores conforme a lo allí previsto.
AiKit impondrá a sus subencargados obligaciones de protección de datos equivalentes a las del presente DPA y mantendrá plena responsabilidad ante el Partner por el cumplimiento de dichos subencargados, sin perjuicio de las responsabilidades directas que cada subencargado pueda asumir frente al Cliente Final.
El tratamiento de datos personales se realizará preferentemente dentro del Espacio Económico Europeo (EEE) o en países con decisión de adecuación de la Comisión Europea.
Cuando, por motivos operativos o por la naturaleza de subencargados ineludibles, sea necesario transferir datos personales a terceros países sin decisión de adecuación, las Partes se obligan a:
(a) Suscribir las Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea mediante Decisión (UE) 2021/914, en el módulo correspondiente al rol que cada Parte ocupe en la transferencia;
(b) Implementar las medidas técnicas y organizativas suplementarias necesarias para garantizar un nivel de protección esencialmente equivalente al exigido en el EEE, conforme a la jurisprudencia "Schrems II" del TJUE;
(c) Realizar y documentar las correspondientes Evaluaciones de Impacto de Transferencias (TIA), poniéndolas a disposición de la autoridad de control si fueran requeridas.
Las SCC se entienden incorporadas por referencia al presente DPA en los supuestos del apartado 7.2, sin necesidad de firma separada, salvo que las propias SCC o la legislación aplicable exijan firma específica, en cuyo caso las Partes se obligan a suscribirlas sin dilación.
La lista pública de subencargados de la Cláusula 6.2 identificará las transferencias internacionales existentes, los países de destino y la base legal que las legitima.
Las medidas técnicas y organizativas concretas que cada Parte se compromete a implementar y mantener se detallan en el Anexo Técnico de Seguridad que se adjunta al presente DPA y que forma parte integrante del mismo.
El cumplimiento del Anexo Técnico se considera obligación esencial. Su incumplimiento podrá fundamentar la resolución por causa grave del Partner Agreement conforme a la Cláusula 9.4 del mismo.
AiKit revisará y, en su caso, actualizará el Anexo Técnico al menos una vez al año, notificando al Partner las actualizaciones materiales con antelación razonable.
La responsabilidad por incumplimiento de las obligaciones del presente DPA se rige por:
(a) El RGPD y la LOPDGDD respecto de las responsabilidades administrativas frente a la AEPD y de las indemnizaciones a interesados; (b) El Partner Agreement aplicable respecto de las relaciones contractuales entre AiKit y el Partner, sin que las limitaciones de responsabilidad de la Cláusula 13 del Partner Agreement sean de aplicación a las obligaciones del presente DPA.
Cada Parte mantendrá indemne a la otra frente a las sanciones administrativas e indemnizaciones a interesados que sean consecuencia directa y exclusiva del incumplimiento de sus propias obligaciones del presente DPA, en proporción a su grado de responsabilidad.
El presente DPA estará en vigor durante toda la vigencia del Partner Agreement. Las obligaciones que por su naturaleza deban subsistir tras la terminación del Partner Agreement (deber de supresión, confidencialidad continua, cooperación con autoridades) sobrevivirán.
La resolución del Partner Agreement conlleva la resolución automática del presente DPA, sin perjuicio de las obligaciones supervivientes.
El presente DPA se rige por la legislación española y la normativa de la Unión Europea. Para cualquier controversia, las Partes se someten a la jurisdicción de los Juzgados y Tribunales de la ciudad de Madrid, sin perjuicio de las competencias específicas de la Agencia Española de Protección de Datos.
AiKit:
Partner:
(a) Autenticación mediante credenciales personales únicas y no transferibles; (b) Política de contraseñas robustas, conforme a buenas prácticas vigentes; (c) Autenticación multifactor (MFA) obligatoria para personal con acceso a datos del Cliente Final; (d) Principio de mínimo privilegio: cada usuario accede únicamente a los recursos estrictamente necesarios para sus funciones; (e) Registros de acceso (logs) con retención mínima de 12 meses.
(a) Cifrado en tránsito: TLS 1.3 o equivalente para todas las comunicaciones que involucren datos personales; (b) Cifrado en reposo: cifrado AES-256 o equivalente para datos persistidos en almacenamiento; (c) Gestión de claves criptográficas mediante sistemas dedicados (KMS o equivalente).
(a) Despliegue en proveedores de cloud certificados (ISO 27001, SOC 2 Tipo II o equivalentes); (b) Segmentación de red entre entornos (producción, staging, desarrollo); (c) Firewalls y sistemas de detección de intrusiones (IDS/IPS) en perímetros relevantes; (d) Actualización periódica de sistemas y aplicación de parches de seguridad.
(a) Copias de seguridad periódicas con almacenamiento separado del entorno productivo; (b) Plan de Continuidad de Negocio (BCP) y Plan de Recuperación ante Desastres (DRP) documentados; (c) Pruebas anuales de los planes BCP/DRP.
(a) Formación obligatoria en protección de datos para todo el personal con acceso a datos personales; (b) Cláusulas de confidencialidad en los contratos del personal; (c) Procedimientos formalizados de alta y baja de personal con accesos correspondientes.
(a) Evaluación previa de proveedores con acceso a datos personales; (b) Contratos con cláusulas de protección de datos equivalentes; (c) Auditorías periódicas de proveedores críticos.
(a) Procedimiento documentado de gestión de incidentes de seguridad; (b) Equipo de respuesta designado; (c) Sistema de notificación al Cliente Final y a la AEPD conforme a los plazos legales (72 horas en notificación a la AEPD, sin dilación al Cliente Final si hay alto riesgo).
(a) Revisión interna anual de las medidas de seguridad; (b) Auditorías externas periódicas (SOC 2, ISO 27001, o equivalentes) según el plan de seguridad de AiKit; (c) Pentest anual realizado por proveedor independiente.
El Partner se compromete a implementar, en lo que sea proporcional a su tamaño y a la naturaleza de su tratamiento, medidas equivalentes a las anteriores. Como mínimo, el Partner garantizará:
(a) Acceso a la Plataforma mediante credenciales personales y MFA; (b) Equipos de los empleados con acceso a datos del Cliente Final cifrados (disco duro); (c) Gestión documentada de altas y bajas de personal con accesos a la Plataforma; (d) Notificación inmediata a AiKit ante cualquier sospecha de compromiso de credenciales.
Y en prueba de conformidad, ambas Partes suscriben el presente DPA v2 Partners por duplicado y a un solo efecto, en el lugar y fecha indicados al final.
Por AIKIT RESEARCH, S.A.
D. Miguel Martín CEO
Por [Razón social del Partner]
[Nombre del firmante] [Cargo]
Contacto Cuestiones legales y protección de datos: legal@aikit.io
Documento confidencial. Versión 2.0 — Mayo 2026.