DPA · Artículo 28 RGPD

Acuerdo de Encargo de Tratamiento

Modelo de Acuerdo de Encargo de Tratamiento entre Konomic Digital, S.L. y las comunidades de propietarios cliente, conforme al artículo 28 del RGPD.

Última actualización: 12 de mayo de 2026

Documento contractual. El presente Acuerdo de Encargo de Tratamiento se firma entre Konomic Digital, S.L. (Encargado) y cada Comunidad de Propietarios cliente (Responsable), como anexo al Contrato de Servicios principal. Esta página recoge la versión vigente del modelo de DPA aplicable a todos los clientes.

De conformidad con el Artículo 28 del Reglamento (UE) 2016/679 General de Protección de Datos (RGPD), las partes acuerdan el siguiente Acuerdo de Encargo de Tratamiento (en adelante, "DPA"):

1. Partes

Responsable del Tratamiento: La Comunidad de Propietarios cliente identificada en el Contrato de Servicios principal firmado con Konomic Digital, S.L.. Representada por el presidente de la comunidad o por el administrador autorizado conforme a los estatutos.
Encargado del Tratamiento: Konomic Digital, S.L. · NIF B22884688 · Calle Santo Domingo 1, 38003 Santa Cruz de Tenerife · nik.l@konomic.com

2. Objeto

El presente acuerdo regula el tratamiento de datos personales que el Encargado realizará por cuenta del Responsable como parte de la prestación del servicio Konomic — Portería virtual contratado por la Comunidad.

3. Duración

El tratamiento se mantendrá durante toda la vigencia del Contrato de Servicios principal. A su terminación —por cualquier causa—, el Encargado devolverá o eliminará los datos personales en el plazo máximo de 30 días naturales, según las instrucciones documentadas del Responsable.

4. Naturaleza y finalidad del tratamiento

Naturaleza: Operaciones automatizadas de tratamiento en el marco del servicio de control de acceso vehicular para comunidades de propietarios.

Finalidad:

Permitir el acceso a las cancelas de la Comunidad mediante reconocimiento de Caller ID de residentes y autorizados.
Autorización temporal de acceso para invitados mediante códigos PIN transmitidos por DTMF.
Mantenimiento de un registro auditable de accesos para la Comunidad, accesible por el presidente o administrador autorizado.
Generación de estadísticas agregadas y anónimas de uso a partir del mes 12.

5. Categorías de datos personales tratados

Número de teléfono móvil de residentes y de personas autorizadas (servicio doméstico, familiares, personal de mantenimiento).
Nombre o identificación de vivienda asociados al teléfono (a discreción del Responsable).
Registros de acceso: fecha, hora, número de teléfono que efectuó la llamada, identificador de cancela activada, tipo de evento (apertura concedida, denegada, expirada).
PIN temporales generados y su período de validez.

6. Categorías de interesados

Propietarios y arrendatarios de las viviendas que componen la Comunidad.
Personas autorizadas por los residentes (personal doméstico, familiares no residentes, invitados frecuentes).
Personal de mantenimiento, emergencias o servicios contratados por la Comunidad.

7. Obligaciones del Encargado

El Encargado se compromete a:

Tratar los datos personales únicamente conforme a las instrucciones documentadas del Responsable, incluyendo en materia de transferencias internacionales (que en cualquier caso quedan excluidas del EEE).
Garantizar que las personas autorizadas a tratar los datos se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación legal equivalente.
Implementar las medidas técnicas y organizativas apropiadas (Anexo II) para garantizar un nivel de seguridad adecuado al riesgo.
No subcontratar el tratamiento a otros encargados sin la autorización previa del Responsable (general, según Anexo I).
Asistir al Responsable, teniendo en cuenta la naturaleza del tratamiento, mediante medidas técnicas y organizativas apropiadas, en la respuesta a las solicitudes que tengan por objeto el ejercicio de derechos de los interesados.
Ayudar al Responsable a garantizar el cumplimiento de las obligaciones de seguridad, notificación de brechas, evaluación de impacto y consultas previas.
Suprimir o devolver al Responsable, a su elección, todos los datos personales una vez finalizada la prestación de servicios, y suprimir las copias existentes, salvo obligación legal de conservación.
Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones del presente DPA, y permitir auditorías razonables.
Notificar al Responsable cualquier brecha de seguridad sin dilación indebida y, en cualquier caso, antes de las 72 horas desde su conocimiento (sección 9).

8. Obligaciones del Responsable

El Responsable (la Comunidad) se compromete a:

Cumplir con los principios y obligaciones aplicables al Responsable del Tratamiento conforme al RGPD.
Proporcionar al Encargado las instrucciones documentadas necesarias para el tratamiento.
Asegurarse de que dispone de una base legal suficiente para el tratamiento (en general, ejecución de las funciones legítimas de la comunidad conforme a la Ley de Propiedad Horizontal y, en su defecto, consentimiento del interesado).
Informar a los interesados (residentes y autorizados) sobre el tratamiento de sus datos, facilitándoles una cláusula informativa equivalente al modelo proporcionado por el Encargado.
Garantizar la legitimidad para incluir números de teléfono de personas distintas a los residentes (familiares, servicio doméstico, etc.), recabando su consentimiento cuando proceda.
Designar a una persona responsable (presidente o administrador) para gestionar las altas, bajas y modificaciones de la base de datos de residentes autorizados.

9. Brechas de seguridad

En caso de detectar una brecha de seguridad que afecte a los datos tratados por encargo, el Encargado notificará al Responsable sin dilación indebida y, en cualquier caso, antes de 72 horas desde su conocimiento. La notificación incluirá:

Naturaleza de la brecha.
Categorías y número aproximado de interesados y registros afectados.
Consecuencias probables.
Medidas adoptadas o propuestas para mitigar los efectos.
Contacto del Delegado de Protección de Datos del Encargado.

10. Sub-encargados

El Responsable autoriza al Encargado a contratar a los sub-encargados listados en el Anexo I. El Encargado informará al Responsable de cualquier cambio en esta lista con una antelación mínima de 30 días naturales, permitiendo al Responsable oponerse a dichos cambios por motivos justificados.

11. Transferencias internacionales

No se prevén transferencias internacionales de datos fuera del Espacio Económico Europeo. Todos los sub-encargados autorizados están ubicados dentro de la Unión Europea y sujetos al RGPD.

12. Confidencialidad

Las partes se comprometen a mantener la confidencialidad de los datos tratados, incluso una vez finalizada la relación contractual. Las obligaciones de confidencialidad sobreviven a la terminación del presente acuerdo.

13. Responsabilidad

Cada parte responderá de los daños causados por el tratamiento que infrinja el RGPD, conforme al artículo 82 del Reglamento. El Encargado solo responderá cuando haya incumplido las obligaciones del RGPD específicamente dirigidas a los Encargados o cuando haya actuado al margen o en contra de las instrucciones lícitas del Responsable.

14. Ley aplicable y jurisdicción

El presente acuerdo se rige por la legislación española y por la normativa europea aplicable. Para la resolución de controversias derivadas del mismo, las partes se someten a los Juzgados y Tribunales de Santa Cruz de Tenerife.

Anexo I — Sub-encargados autorizados

Proveedor	Servicio	Ubicación	DPA
Hetzner Online GmbH	Hosting de infraestructura cloud	Falkenstein / Nuremberg, Alemania	Sí
MessageBird B.V.	Telefonía SMS y voz	Ámsterdam, Países Bajos	Sí
Vodafone España S.A.U.	Conectividad M2M para dispositivos	Madrid, España	Sí

Anexo II — Medidas técnicas y organizativas

Cifrado

En tránsito: TLS 1.3 obligatorio para todas las comunicaciones (web, API, MQTT, base de datos).
En reposo: AES-256 para volúmenes de almacenamiento y copias de seguridad.
Hash en caché local de dispositivos: HMAC-SHA256 para números de teléfono; bcrypt para PIN.

Control de accesos

Autenticación multifactor para todo el personal administrativo de Konomic con acceso a datos personales.
Autenticación TOTP (RFC 6238) para presidente de comunidad en el panel administrativo.
Autenticación OTP por SMS de 6 dígitos para residentes; sesión válida 90 días.
Principio de menor privilegio: accesos basados en roles, segregación de funciones.

Disponibilidad y resiliencia

Copias de seguridad diarias cifradas con redundancia geográfica dentro del EEE.
Plan de continuidad de negocio con objetivo de tiempo de recuperación (RTO) inferior a 24 horas.
Modo de degradación local (offline-first) en dispositivos de campo: si se pierde la conexión con la nube, el dispositivo conserva la lista de residentes autorizados y sigue abriendo la cancela.

Auditoría y trazabilidad

Registro de auditoría de todos los accesos administrativos al sistema.
Conservación de logs de seguridad por un mínimo de 12 meses.
Trazabilidad completa de altas, bajas y modificaciones de residentes autorizados.

Formación y procedimientos

Formación obligatoria al personal sobre protección de datos en la contratación y anualmente.
Procedimiento documentado de detección y notificación de brechas de seguridad.
Revisión anual de las medidas técnicas y organizativas.

Versión 1.0 — Documento sujeto a actualizaciones periódicas. La versión vigente en cada momento será la publicada en konomic.es/dpa.html.