Esta traducción al español se proporciona únicamente con fines informativos. La versión original en inglés prevalece. Se aplica el derecho neerlandés; tribunal exclusivo: Ámsterdam.
1. Partes
El presente ATD se suscribe entre:
Responsable del tratamiento: El Cliente que ha aceptado las Condiciones de Servicio y utiliza el Servicio en calidad de responsable del tratamiento.
Encargado del tratamiento: Alpha Digital B.V., que opera bajo el nombre de Custos AI — Stationsplein 26, 6512 AB Nijmegen, NL · KvK 72313129
El presente ATD forma parte de las Condiciones de Servicio y se incorpora a las mismas. Se suscribe de conformidad con el artículo 28 del RGPD.
2. Definiciones
- «Interesado» — una persona física identificada o identificable cuyos datos personales son tratados en el marco del presente ATD.
- «Datos personales» — cualquier información relativa a un interesado tratada por el encargado del tratamiento en nombre del responsable del tratamiento en relación con el Servicio.
- «Tratamiento» — cualquier operación o conjunto de operaciones realizadas con datos personales, tal como se define en el artículo 4(2) del RGPD.
- «Incidente de seguridad» — una violación de la seguridad que conlleve la destrucción, pérdida, alteración, divulgación no autorizada o acceso no autorizado a datos personales, de forma accidental o ilícita.
- «Subencargado del tratamiento» — cualquier tercero contratado por el encargado del tratamiento para tratar datos personales en nombre del responsable del tratamiento.
3. Ámbito de aplicación y roles
El presente ATD se aplica a todos los tratamientos de datos personales realizados por el encargado del tratamiento en nombre del responsable del tratamiento en relación con la prestación del Servicio. El responsable del tratamiento determina las finalidades y los medios del tratamiento. El encargado del tratamiento trata los datos personales únicamente en nombre del responsable del tratamiento y de acuerdo con las instrucciones documentadas de este.
Nota sobre los proveedores LLM (BYOK): El presente ATD no se aplica al tratamiento de datos personales por parte de los proveedores LLM de terceros. En el marco del modelo BYOK, el responsable del tratamiento mantiene una relación contractual directa con cada proveedor LLM a través de sus propias claves API. El encargado del tratamiento actúa únicamente como conducto técnico que transmite las solicitudes del responsable del tratamiento a la API del proveedor LLM; el encargado del tratamiento no determina las finalidades ni los medios del tratamiento realizado por los proveedores LLM.
4. Detalles del tratamiento
Objeto
La prestación de una plataforma de chat multi-LLM, incluida la gestión de cuentas de usuario, la funcionalidad de chat, la carga y el almacenamiento de archivos, las funciones de colaboración en equipo y los servicios de asistencia asociados.
Categorías de interesados
Los empleados, contratistas, representantes y cualquier otro individuo del responsable del tratamiento cuyos datos personales sean enviados al Servicio por o en nombre del responsable del tratamiento.
Tipos de datos personales
| Categoría | Ejemplos |
|---|---|
| Datos de cuenta | Nombre, dirección de correo electrónico, contraseña cifrada (hash), preferencia de idioma, configuración de MFA |
| Datos de uso | Marcas de tiempo de inicio de sesión, identificadores de sesión, direcciones IP, metadatos del dispositivo y del navegador |
| Datos de chat | Historial de conversaciones, prompts, respuestas generadas por IA, modelo LLM seleccionado por conversación |
| Archivos cargados | Archivos PDF, DOCX, XLSX, imágenes, CSV y TXT cargados por los interesados |
| Metadatos de facturación | Plan de suscripción, ciclo de facturación, identificador de cliente de Stripe |
| Datos de equipo y espacio de trabajo | Nombre de la organización, pertenencia al espacio de trabajo, roles de usuarios, plantillas de prompts compartidas |
| Datos de presupuesto y costes | Límites de presupuesto de API configurados, uso estimado de tokens y costes por usuario y proveedor |
Categorías especiales de datos
El encargado del tratamiento no trata intencionalmente categorías especiales de datos personales tal como se definen en el artículo 9 del RGPD. El responsable del tratamiento no debe enviar categorías especiales de datos personales al Servicio a menos que el responsable del tratamiento haya garantizado una base jurídica válida y las salvaguardias adecuadas en virtud del artículo 9 del RGPD.
5. Obligaciones del responsable del tratamiento
- El responsable del tratamiento garantiza que dispone de una base jurídica válida en virtud del RGPD para el tratamiento de datos personales a través del Servicio.
- El responsable del tratamiento es responsable de proporcionar avisos de privacidad adecuados a los interesados y de responder a las solicitudes de los interesados, con la asistencia del encargado del tratamiento.
- El responsable del tratamiento es responsable de garantizar la licitud de los datos transmitidos a los proveedores LLM de terceros a través del Servicio, incluida la celebración de acuerdos de tratamiento de datos adecuados con dichos proveedores.
- El responsable del tratamiento proporciona instrucciones documentadas al encargado del tratamiento en relación con el tratamiento. El acuerdo y el presente ATD constituyen las instrucciones documentadas iniciales del responsable del tratamiento.
6. Obligaciones del encargado del tratamiento
- El encargado del tratamiento tratará los datos personales únicamente siguiendo las instrucciones documentadas del responsable del tratamiento.
- El encargado del tratamiento garantizará que las personas autorizadas para tratar datos personales se hayan comprometido a guardar confidencialidad.
- El encargado del tratamiento implementará y mantendrá medidas de seguridad técnicas y organizativas adecuadas.
- El encargado del tratamiento no contratará a otro encargado del tratamiento (subencargado) sin cumplir las condiciones establecidas en la Sección 8.
- El encargado del tratamiento asistirá al responsable del tratamiento en el cumplimiento de las obligaciones de respuesta a las solicitudes de derechos de los interesados.
- El encargado del tratamiento asistirá al responsable del tratamiento para garantizar el cumplimiento de los artículos 32 a 36 del RGPD.
- A elección del responsable del tratamiento, el encargado del tratamiento eliminará o devolverá todos los datos personales al término de la prestación de servicios.
7. Medidas técnicas y organizativas
El encargado del tratamiento implementa y mantiene las siguientes medidas de seguridad:
| Ámbito | Medida |
|---|---|
| Cifrado en reposo | AES-256 para todos los datos almacenados a través de Supabase; AES-256-GCM para claves API |
| Cifrado en tránsito | TLS 1.2 o superior en todas las conexiones |
| Autenticación | Correo electrónico + contraseña con autenticación multifactor TOTP obligatoria |
| Control de acceso | Mínimo privilegio, acceso basado en roles; aislamiento multi-inquilino aplicado mediante Supabase Row Level Security (RLS) a nivel de base de datos |
| Seguridad de red | Solo HTTPS; HSTS; aislamiento de red gestionado por Supabase a nivel de base de datos |
| Cabeceras de seguridad | HSTS, X-Content-Type-Options, X-Frame-Options, CSP, Referrer-Policy, Permissions-Policy |
| Copia de seguridad | Copias de seguridad cifradas automatizadas diarias a través de Supabase; recuperación point-in-time disponible; pruebas de restauración mensuales |
| Recuperación | Objetivo RTO: 4 horas; Objetivo RPO: 24 horas (objetivos operativos no contractuales) |
| Monitorización | Monitorización de aplicaciones a través de Vercel Observability |
| Gestión de vulnerabilidades | Evaluación OWASP Top 10; análisis automatizado de dependencias (Dependabot); análisis estático CodeQL |
| Aplicación de presupuesto | Límites de presupuesto estrictos basados en LiteLLM que bloquean las llamadas a la API antes de su transmisión a los proveedores LLM |
| Respuesta a incidentes | Notificación al responsable del tratamiento en un plazo de 48 horas tras un incidente de seguridad |
| Alojamiento de datos | Exclusivamente dentro de la UE: Fráncfort, Alemania (Supabase) y Ámsterdam, Países Bajos (TransIP) |
8. Subencargados del tratamiento
El responsable del tratamiento otorga al encargado del tratamiento autorización general para contratar a los siguientes subencargados del tratamiento:
| Subencargado del tratamiento | Finalidad | Ubicación |
|---|---|---|
| Supabase | Base de datos, autenticación, almacenamiento de archivos | Fráncfort, Alemania (UE) |
| TransIP B.V. | Hosting VPS para el proxy LiteLLM (aplicación de presupuesto, enrutamiento de solicitudes LLM) | Ámsterdam, Países Bajos (UE) |
| Vercel, Inc. | Frontend y computación edge (sitio web y aplicación) | Red edge de la UE |
| Lettermint | Entrega de correo electrónico transaccional | UE |
| Stripe Payments Europe, Ltd. | Procesamiento de pagos y Stripe Tax | Dublín, Irlanda (UE) |
El encargado del tratamiento informará al responsable del tratamiento de cualquier cambio previsto en relación con la incorporación o sustitución de subencargados del tratamiento, dándole la oportunidad de oponerse a dichos cambios. La notificación se proporcionará al menos 30 días antes de que el cambio entre en vigor a través de la lista de subencargados en custosai.eu/sub-processors.
9. Derechos de los interesados
El encargado del tratamiento asistirá al responsable del tratamiento en la respuesta a las solicitudes de los interesados que ejerzan sus derechos en virtud del Capítulo III del RGPD (incluidos el acceso, la rectificación, la supresión, la limitación, la portabilidad y la oposición). Cuando sea técnicamente factible, el encargado del tratamiento proporcionará al responsable del tratamiento los medios para cumplir dichas solicitudes, incluida la funcionalidad de autoservicio en la plataforma.
10. Incidentes de seguridad
- El encargado del tratamiento notificará al responsable del tratamiento sin dilación indebida, y en cualquier caso en un plazo de 48 horas, tras tener conocimiento de un incidente de seguridad que afecte a datos personales tratados en nombre del responsable del tratamiento.
- La notificación incluirá: una descripción de la naturaleza del incidente de seguridad; el nombre y los datos de contacto del punto de contacto; una descripción de las consecuencias probables; y una descripción de las medidas adoptadas o propuestas.
- Si no es posible proporcionar toda la información al mismo tiempo, el encargado del tratamiento la proporcionará en fases sin más dilación indebida.
- La notificación de un incidente de seguridad no constituirá un reconocimiento de culpa o responsabilidad por parte del encargado del tratamiento.
11. Auditorías
- El encargado del tratamiento pondrá a disposición del responsable del tratamiento toda la información razonablemente necesaria para demostrar el cumplimiento del presente ATD y del artículo 28 del RGPD.
- El responsable del tratamiento podrá realizar una auditoría sujeta a las siguientes condiciones: al menos 30 días de preaviso escrito; un máximo de una vez por año natural (salvo que haya ocurrido un incidente de seguridad); auditorías realizadas en horario comercial; costes a cargo del responsable del tratamiento.
- El encargado del tratamiento podrá satisfacer las solicitudes de auditoría proporcionando informes de auditoría de terceros pertinentes o certificaciones (por ejemplo, ISO 27001, SOC 2 Tipo II) cuando estén disponibles.
12. Devolución y supresión de datos
- Durante la vigencia del acuerdo, el responsable del tratamiento puede exportar los datos personales en cualquier momento mediante la funcionalidad de exportación de autoservicio (formatos JSON y CSV).
- Tras la terminación, el encargado del tratamiento conservará los datos personales del responsable del tratamiento durante 30 días naturales para permitir la exportación de datos.
- Transcurrido el período de conservación de 30 días, el encargado del tratamiento suprimirá todos los datos personales y confirmará la supresión por escrito a petición del responsable del tratamiento.
- Los archivos cargados están sujetos a supresión automática 30 días naturales desde la carga por defecto. Los administradores pueden fijar archivos individuales para evitar la supresión automática; los archivos fijados permanecen hasta que se eliminen explícitamente. Los clientes Enterprise pueden acordar políticas de conservación personalizadas a través de su contrato.
- Las copias de seguridad que contengan datos personales se eliminarán de acuerdo con el calendario de conservación de copias de seguridad (30 días).
13. Transferencias internacionales de datos
El encargado del tratamiento almacena y trata todos los datos de la aplicación de los clientes (datos de cuenta, datos de chat, archivos cargados) exclusivamente dentro del EEE: base de datos y almacenamiento de archivos en Fráncfort, Alemania (a través de Supabase); proxy de solicitudes LLM y aplicación de presupuesto en Ámsterdam, Países Bajos (a través de TransIP).
Algunos subencargados del tratamiento (Stripe, Vercel, Lettermint) pueden tratar categorías limitadas de datos fuera del EEE. En cada caso, el encargado del tratamiento garantiza que existen mecanismos de transferencia adecuados, incluidas las cláusulas contractuales tipo adoptadas por la Comisión Europea.
14. Disposiciones varias
- Conflictos: En caso de conflicto entre el presente ATD y el acuerdo, el presente ATD prevalecerá con respecto al tratamiento de datos personales.
- Modificaciones: El presente ATD puede ser modificado por el encargado del tratamiento para reflejar cambios en la legislación de protección de datos aplicable, con un preaviso de al menos 30 días para cambios sustanciales.
- Ley aplicable: El presente ATD se rige por el derecho de los Países Bajos. Cualquier disputa se someterá al tribunal competente de Ámsterdam.
- Idioma: This DPA is drafted in English. In the event of a conflict between any translated version and the English version, the English version shall prevail.
15. Contacto
Para preguntas sobre este ATD, contacte con:
Alpha Digital B.V., que opera bajo el nombre de Custos AI
Stationsplein 26, 6512 AB Nijmegen, Países Bajos
Correo electrónico: