← Volver

Contrato de Encargo de Tratamiento de Datos

Última actualización: 7 de julio de 2026

Este Contrato de Encargo (el «Contrato» o «DPA») regula el tratamiento de datos personales que NexoPenal realiza por cuenta y bajo instrucción del abogado o despacho usuario (el «Responsable») al prestar el servicio. Forma parte integral de los Términos y Condiciones y se complementa con la Política de Privacidad. Se rige por la Ley N.º 8968 de Costa Rica y su Reglamento (Decreto Ejecutivo N.º 37554-JP).

1. Partes y objeto

Son partes de este Contrato: (a) el Responsable, es decir, el abogado o despacho que usa la plataforma y decide sobre los datos de sus expedientes; y (b) el Encargado, NexoPenal, que trata dichos datos únicamente para prestar el servicio. El objeto es fijar las condiciones y garantías de ese encargo, conforme a la normativa de protección de datos aplicable.

2. Definiciones

  • Datos personales: toda información sobre una persona física identificada o identificable contenida en los expedientes.
  • Datos sensibles: los que revelan, entre otros, la comisión o participación en delitos, salud, orientación o vida sexual (art. 9 Ley 8968).
  • Titular: la persona a quien se refieren los datos (imputado, víctima, testigo, etc.).
  • Tratamiento: cualquier operación sobre los datos (recolección, almacenamiento, análisis, transmisión, supresión).
  • Subencargado (subprocesador): tercero que el Encargado contrata para prestar parte del servicio.

3. Alcance y detalle del tratamiento

  • Finalidad: prestar el servicio de gestión y análisis de expedientes con IA, según lo instruido por el Responsable.
  • Duración: mientras el Responsable mantenga su cuenta activa y conforme a los plazos de conservación indicados en este Contrato y en la Política de Privacidad.
  • Categorías de titulares: imputados, víctimas, testigos, peritos, contrapartes y demás intervinientes en los expedientes; y los usuarios del Responsable.
  • Categorías de datos: datos identificativos, de contacto, procesales y documentales, incluidos datos sensibles propios de la materia penal.
  • Operaciones: alojamiento, indexación/vectorización, análisis por IA, transcripción, búsqueda, y supresión.

4. Instrucciones del Responsable

El Encargado tratará los datos únicamente conforme a las instrucciones documentadas del Responsable, que quedan expresadas en el uso de la plataforma, en los Términos, en la Política de Privacidad y en este Contrato. El Encargado no tratará los datos para fines propios. Si una instrucción infringe la normativa, el Encargado lo informará.

5. Obligaciones del Encargado (NexoPenal)

  • Tratar los datos solo para prestar el servicio y bajo instrucción del Responsable.
  • No usar los datos para fines propios ni para entrenar modelos de IA, y exigir contractualmente lo mismo a sus subencargados.
  • Garantizar la confidencialidad y que quienes accedan estén sujetos a deber de secreto.
  • Aplicar medidas de seguridad técnicas y organizativas adecuadas (sección 8).
  • Asistir al Responsable para atender los derechos de los titulares y sus obligaciones legales.
  • Notificar sin dilación indebida cualquier brecha de seguridad de la que tenga conocimiento.
  • Poner a disposición del Responsable la información necesaria para acreditar el cumplimiento.
  • Al finalizar, devolver o suprimir los datos según la elección del Responsable (sección 14).

6. Obligaciones del Responsable (usuario)

  • Contar con base legítima o autorización para el tratamiento de los datos de terceros que carga (en particular, el ejercicio de la defensa técnica y su relación profesional con el cliente).
  • Impartir instrucciones lícitas y cumplir la normativa de protección de datos frente a los titulares y ante la PRODHAB.
  • Informar a los titulares y atender el ejercicio de sus derechos cuando corresponda.
  • No cargar datos que excedan lo necesario para la finalidad del expediente.
  • Conservar copias propias, fuera de la plataforma, de la documentación crítica de sus casos.

7. Confidencialidad

El Encargado y su personal guardarán secreto sobre los datos, obligación que subsiste tras la terminación del servicio. El acceso se limita al personal que lo requiera para operar la plataforma o brindar soporte solicitado por el Responsable, sujeto a deberes de confidencialidad, o para cumplir una exigencia legal.

8. Medidas de seguridad

  • Cifrado en tránsito (TLS) y en reposo.
  • Aislamiento lógico por despacho (row-level security): un Responsable no accede a datos de otro.
  • Control de acceso, autenticación y segundo factor (2FA) disponible.
  • Registro de eventos de seguridad, límites de uso y principio de mínimo privilegio.
  • El monitoreo técnico de errores está configurado para no recibir contenido de expedientes ni datos personales, y la telemetría de uso de IA registra solo métricas técnicas (tokens, costos, latencia) con identificadores en hash, sin contenido.
  • Gestión de vulnerabilidades y respaldo de la infraestructura por los proveedores.

9. Subencargados (subprocesadores)

El Responsable autoriza de forma general al Encargado a contratar subencargados para prestar el servicio, obligándolos por escrito a garantías de protección equivalentes a las de este Contrato, incluida la prohibición de usar los datos para fines propios o de entrenamiento de modelos de IA. Las categorías de subencargados utilizadas son las descritas en la Política de Privacidad: infraestructura de nube y base de datos; proveedores de modelos de inteligencia artificial; procesador de pagos certificado PCI-DSS; servicio de correo transaccional; monitoreo de errores y disponibilidad; telemetría de uso de IA; y limitación de tasa y protección anti-abuso.

La lista específica de subencargados vigentes, con su identidad, función y ubicación, está disponible bajo solicitud escrita a soporte@nexopenal.com. El Encargado informará con antelación razonable los cambios relevantes de subencargados; el Responsable podrá objetar por motivos razonables de protección de datos y, de no alcanzarse una solución, terminar el servicio conforme a los Términos.

10. Transferencias internacionales

El servicio implica el tratamiento de datos en servidores ubicados fuera de Costa Rica (principalmente en Estados Unidos u otras jurisdicciones), a través de los subencargados. Dichas transferencias se realizan bajo salvaguardas contractuales de seguridad, confidencialidad y no-entrenamiento. El Responsable, al usar la plataforma, instruye y consiente estas transferencias.

11. Asistencia y derechos de los titulares

El Encargado asistirá al Responsable, en la medida de lo posible y con medios técnicos razonables, para responder a las solicitudes de acceso, rectificación, supresión, oposición o portabilidad de los titulares, y para cumplir sus deberes legales de seguridad y notificación. Las solicitudes de asistencia se atienden por escrito al correo privacidad@nexopenal.com con la prontitud necesaria para que el Responsable cumpla los plazos de la Ley 8968 y, en todo caso, en un máximo de cinco (5) días hábiles. Cuando un titular contacte directamente al Encargado sobre datos de un expediente, se le derivará al Responsable correspondiente.

12. Notificación de brechas de seguridad

Ante una brecha de seguridad que afecte datos personales tratados por cuenta del Responsable, el Encargado la notificará sin dilación indebida tras tener conocimiento, aportando la información disponible sobre su naturaleza, alcance y medidas adoptadas, para que el Responsable cumpla sus obligaciones de comunicación ante la autoridad y los titulares.

13. Auditoría y acreditación

El Encargado pondrá a disposición del Responsable la información razonablemente necesaria para demostrar el cumplimiento de este Contrato. Las auditorías se coordinarán con antelación razonable, sin comprometer la seguridad ni la confidencialidad de otros clientes ni la continuidad del servicio.

14. Devolución o supresión al finalizar

Terminada la relación, aplica un periodo de gracia de sesenta (60) días naturales, durante el cual el Responsable puede reactivar su cuenta o solicitar, mediante correo a soporte@nexopenal.com, la entrega de una copia de los datos tratados por su cuenta en un formato estructurado de uso común. Vencido ese plazo, el Encargado suprimirá los datos operativos, salvo obligación legal de conservarlos (por ejemplo, registros de facturación). Si el Responsable solicita expresamente la supresión anticipada, esta se ejecutará en un plazo máximo de treinta (30) días naturales desde la verificación de identidad, conforme a la Política de Privacidad. Ciertos registros de seguridad pueden conservarse de forma agregada o anonimizada, y las copias de seguridad expiran en su ciclo normal de rotación.

15. Responsabilidad

Cada parte responde por el cumplimiento de las obligaciones que este Contrato y la ley le asignan según su rol. El Responsable responde por la licitud del tratamiento que instruye y de los datos que carga; el Encargado, por tratar los datos conforme a las instrucciones y a las garantías aquí previstas. La responsabilidad del Encargado se sujeta, además, a los límites establecidos en los Términos y Condiciones.

16. Vigencia, ley aplicable y aceptación

Este Contrato entra en vigor con la aceptación de los Términos y permanece vigente mientras el Responsable use el servicio. Se rige por las leyes de la República de Costa Rica y se interpreta en armonía con la Ley N.º 8968 y su Reglamento. La autoridad de control es la PRODHAB, ante la cual los titulares pueden presentar denuncias. Para consultas escriba a privacidad@nexopenal.com.