Acuerdo de Tratamiento de Datos

v1.0-2026-05-20 · en vigor 2026-06-05 · Artículo 28 del RGPD + Proveedor de Servicios de la CCPA

Este Acuerdo de Tratamiento de Datos (el “DPA”) se incorpora y forma parte del Acuerdo Marco de Servicios (el “MSA”) entre [Entidad jurídica del Cliente] (el “Responsable”) y Ataski, Inc. (el “Encargado”). Rige el Tratamiento de Datos Personales realizado por el Encargado en nombre del Responsable.

1. Definiciones

Los términos utilizados en este DPA tienen el significado que les atribuyen el RGPD (Reglamento (UE) 2016/679) y la CCPA (Cal. Civ. Code §1798.140) cuando proceda. Las siguientes definiciones se aplican a ambos regímenes:

• Responsable. La persona física o jurídica que determina los fines y los medios del Tratamiento de Datos Personales (Artículo 4(7) del RGPD). A efectos de este DPA, el Cliente es el Responsable.
• Encargado. La persona física o jurídica que trata Datos Personales por cuenta del Responsable (Artículo 4(8) del RGPD). Ataski es el Encargado. A efectos de la CCPA, Ataski actúa como Proveedor de Servicios (Cal. Civ. Code §1798.140(ag)).
• Datos Personales. Toda información sobre una persona física identificada o identificable (Artículo 4(1) del RGPD) o Información Personal (CCPA §1798.140(v)) que el Responsable transmita al Servicio o a través de él, o que el Servicio recopile por cuenta del Responsable.
• Tratamiento. Toda operación realizada sobre Datos Personales, incluida la recogida, el almacenamiento, el análisis, el uso, la comunicación y la supresión (Artículo 4(2) del RGPD).
• Subencargado. Cualquier tercero contratado por Ataski para Tratar Datos Personales por cuenta del Responsable. La lista actual se publica en /legal/subprocessors.
• Interesado. Una persona física identificada o identificable a la que se refieren los Datos Personales.

2. Objeto y duración

Objeto. El Encargado presta servicios de equipo de IA al Responsable (los “Servicios”). En el curso de la prestación de los Servicios, el Encargado trata Datos Personales por cuenta del Responsable, de conformidad con las instrucciones documentadas del Responsable.

Duración. Este DPA entra en vigor el 2026-06-05 y permanece vigente durante la duración de la suscripción subyacente, más un periodo de conservación de datos de 30 días durante el cual el Responsable puede exportar los Datos del Cliente mediante el endpoint de autoservicio /api/export, tras lo cual el Encargado suprime todos los Datos del Cliente (Artículo 28(3)(g) del RGPD).

3. Naturaleza y finalidad del Tratamiento

La naturaleza y la finalidad del Tratamiento están determinadas por los roles del equipo de IA que el Responsable activa en su espacio de trabajo (Asistente de Ventas Outbound, Contacto de Profesionales con Licencia, Analista Financiero, Redactor de Paquetes para el Consejo, Redactor de Respuestas de Soporte, Gestor de Renovaciones, Monitor de Cuentas de Clientes, Resumen de Contrato, Coordinador de Resúmenes de Reuniones). La matriz de capacidades de cada rol se publica en la página de marketing correspondiente, y la activación del rol por parte del Responsable constituye una instrucción documentada para Tratar Datos Personales dentro del alcance declarado de dicho rol.

4. Tipos de Datos Personales y categorías de Interesados

Tipos de Datos Personales. Datos de contacto profesional (nombre, correo de trabajo, teléfono de trabajo, cargo); metadatos de comunicaciones (marcas de tiempo de envío/recepción de correos, asistencia a reuniones); contenido proporcionado por el Responsable (CSV cargados, materiales para el consejo, borradores de contratos); entradas y salidas de modelos (prompts y respuestas redactadas por la IA).

Categorías de Interesados. Los empleados, contratistas, clientes, prospectos, proveedores, miembros del consejo y participantes en reuniones del Responsable cuyos datos el Responsable transmita al Servicio o a través de él.

5. Obligaciones del Responsable

El Responsable es responsable del cumplimiento de la legislación de protección de datos aplicable respecto de los Datos Personales que transmita al Servicio, incluida la determinación de una base lícita para el Tratamiento (Artículo 6 del RGPD) y la provisión de la información exigida a los Interesados. El Responsable garantiza que sus instrucciones documentadas al Encargado cumplen el RGPD y demás legislación de protección de datos aplicable.

6. Obligaciones del Encargado (Artículo 28(3) del RGPD)

1. Instrucciones documentadas. El Encargado trata Datos Personales únicamente siguiendo instrucciones documentadas del Responsable, incluso en lo relativo a transferencias internacionales de datos, salvo que esté obligado a ello por el Derecho de la Unión o de los Estados miembros al que esté sujeto el Encargado; en tal caso, el Encargado informa al Responsable de dicha exigencia legal antes del Tratamiento, salvo que la ley prohíba dicha información por motivos importantes de interés público.
2. Confidencialidad. El Encargado garantiza que las personas autorizadas para tratar Datos Personales se han comprometido a la confidencialidad o están sujetas a una obligación legal apropiada de confidencialidad.
3. Seguridad. El Encargado implementa las Medidas Técnicas y Organizativas apropiadas (Apéndice A) para garantizar un nivel de seguridad adecuado al riesgo (Artículo 32 del RGPD).
4. Subtratamiento. El Encargado contrata Subencargados únicamente bajo las condiciones del §7 siguiente.
5. Asistencia con los derechos de los Interesados. El Encargado asiste al Responsable, mediante medidas técnicas y organizativas apropiadas, en el cumplimiento de la obligación del Responsable de responder a las solicitudes de los Interesados conforme al Capítulo III del RGPD (Artículos 12–23).
6. Asistencia conforme a los Artículos 32–36. El Encargado asiste al Responsable a garantizar el cumplimiento de los Artículos 32 (Seguridad), 33 (Notificación de violaciones), 34 (Comunicación de violaciones), 35 (EIPD) y 36 (Consulta previa) del RGPD, teniendo en cuenta la naturaleza del Tratamiento y la información disponible para el Encargado.
7. Devolución o supresión. A la finalización de los Servicios, el Encargado devuelve o suprime todos los Datos Personales a elección del Responsable, y suprime las copias existentes salvo que el Derecho de la Unión o de los Estados miembros exija su almacenamiento. El periodo por defecto es de 30 días desde la finalización mediante el endpoint de autoservicio /api/export y la tarea automatizada de supresión posterior a los 30 días.
8. Auditoría. El Encargado pone a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el Artículo 28 del RGPD y permite y contribuye a la realización de auditorías, incluidas inspecciones, llevadas a cabo por el Responsable o por otro auditor mandatado por el Responsable. Las auditorías no podrán realizarse más de una vez por año natural, salvo que lo exija una orden de la autoridad de control.

7. Subencargados

El Responsable otorga por la presente al Encargado una autorización general escrita para contratar a los Subencargados enumerados en /legal/subprocessors (incorporados por referencia). El Encargado informará al Responsable de cualquier cambio previsto en dicha lista, otorgando al Responsable no menos de 30 días de preaviso, durante los cuales el Responsable podrá oponerse por motivos razonables. El Encargado sigue siendo responsable ante el Responsable de los actos y omisiones de cada Subencargado como si fueran propios.

El Encargado garantiza que cada Subencargado está vinculado por un acuerdo escrito que impone obligaciones de protección de datos no menos protectoras que las de este DPA. La lista actual de Subencargados comprende 18 proveedores a fecha de 2026-06-05 (consulta la página pública de subencargados para ver la lista canónica).

8. Transferencias internacionales

Cuando se transfieran Datos Personales desde el Espacio Económico Europeo, el Reino Unido o Suiza a un tercer país que no se beneficie de una decisión de adecuación, el Encargado y el Responsable acuerdan que se aplican las Cláusulas Contractuales Tipo de la UE (Decisión de Ejecución (UE) 2021/914 de la Comisión), Módulo Dos (Responsable a Encargado) cuando el Responsable esté establecido en el EEE, actuando Ataski como importador de datos. El Addendum de Transferencia Internacional de Datos del Reino Unido y la guía del Comisionado Federal Suizo de Protección de Datos e Información se aplican mutatis mutandis a las transferencias del Reino Unido y de Suiza respectivamente. Cuando proceda, Ataski participa en el Marco de Privacidad de Datos UE–EE. UU. y en sus extensiones del Reino Unido y de Suiza; el Responsable puede ampararse, a su elección, en la certificación del DPF o en las CCT.

9. Violación de Datos Personales

El Encargado notifica al Responsable sin demora indebida y, en cualquier caso, dentro de las 72 horas, tras tener conocimiento de una violación de Datos Personales (Artículos 4(12), 33 del RGPD). La notificación describe la naturaleza de la violación, incluyendo, cuando sea posible, las categorías y el número aproximado de Interesados afectados, las consecuencias probables y las medidas adoptadas o propuestas para abordar la violación.

10. Vigencia y resolución

Este DPA permanece vigente mientras el Encargado trate Datos Personales por cuenta del Responsable conforme al MSA. Cualquiera de las partes solo puede resolver este DPA resolviendo el MSA de conformidad con sus términos; a la resolución, el Encargado completa el procedimiento de devolución / supresión del §6(7) anterior.

11. Legislación aplicable

Este DPA se rige por la legislación especificada en el MSA. Nada en este DPA menoscaba los derechos otorgados a los Interesados por el Derecho de la Unión, de los Estados miembros u otra legislación de protección de datos aplicable.

Apéndice A — Medidas Técnicas y Organizativas (Artículo 32 del RGPD)

El Encargado implementa las siguientes Medidas Técnicas y Organizativas (“MTO”) para garantizar un nivel de seguridad adecuado al riesgo, de conformidad con el Artículo 32 del RGPD:

• Multi-tenancy. Per-tenant data isolation via Postgres Row Level Security; every customer-data table enforces the tenant_id session variable at the database layer (defence-in-depth on top of application-level scoping).
• Encryption at rest. All credential material stored encrypted via Fernet (AES-128 in CBC mode with HMAC-SHA-256 authentication). Database storage layer encryption provided by Neon (AES-256); object storage encryption provided by Cloudflare R2 (AES-256).
• Encryption in transit. TLS 1.3 enforced on every HTTPS endpoint and database connection; mutual-TLS for sub-processor API calls where the vendor supports it.
• Access control. WorkOS-backed SSO + SAML for tenant workspaces; role-gated approval workflows for high-stakes actions (board pack approval, monthly investor update send, outbound email send) per CLAUDE.md principle #9 capability matrix.
• Audit logging. Append-only audit_log table with database-level REVOKE UPDATE/DELETE; every LLM call, external API call, and data modification logged with tenant_id, user_id, correlation_id, cost, and latency.
• PII handling. Service Provider posture per CCPA §1798.140(ag); contact records stay in per-tenant RLS scope and are never aggregated across tenants. Per-tenant deletion within 45 days of request via /privacy/optout.
• Cost guardrails. Four-tier cost ceiling (provider limit, per-task budget, per-customer daily cap, global kill switch) prevents runaway exfiltration via a compromised credential.
• Incident response. Bugsink error tracking with 24-hour customer notification for any incident involving Customer Data; status page operated via Better Stack with uptime monitoring on every tenant-facing endpoint.
• Personnel. All personnel with access to Customer Data bound by confidentiality covenants; principle of least privilege enforced via role-gated routes; access reviewed quarterly.

Apéndice B — Subencargados

La lista actual de Subencargados se publica en /legal/subprocessors y se incorpora a este DPA por referencia. A fecha de 2026-06-05 la lista comprende 18 proveedores.