ES
ENG
PL
DE
Acceso
Empezar ahora
ES
ENG
PL
DE
Acceso
Empezar ahora

DPA

1. Partes y funciones

1.1. El presente Acuerdo de Tratamiento de Datos (“ATD”) forma parte integrante del Contrato de prestación de servicios de PromptEye.

1.2. En la medida en que el Cliente introduzca datos personales en el Servicio, las partes acuerdan que:

  • el Cliente actúa como responsable del tratamiento de datos personales en el sentido del RGPD,
  • PromptEye actúa como encargado del tratamiento.

1.3. Con respecto a los datos personales de los Usuarios de la Cuenta, datos de facturación, datos de contacto y datos de marketing, PromptEye actúa como responsable — en los términos establecidos en la Política de privacidad.

2. Objeto, naturaleza y finalidad del tratamiento

2.1. El objeto del presente ATD es establecer las condiciones en las que PromptEye trata datos personales por cuenta del Cliente en relación con la prestación del Servicio.

2.2. El tratamiento abarca en particular:

  • Datos de cuenta: nombre, apellidos (si se facilitan), dirección de correo electrónico corporativo, nombre y datos de la empresa, rol del Usuario,
  • Datos técnicos: dirección IP, datos del dispositivo y del navegador, identificadores de sesión, registros técnicos,
  • Datos empresariales: prompts, nombres de marcas, contenidos analíticos y otros datos introducidos en el Servicio por el Cliente o los Usuarios, en la medida en que contengan datos personales.

2.3. La naturaleza de las operaciones de tratamiento incluye, entre otras: recopilación, organización, almacenamiento, modificación, análisis, uso para la generación de Informes, comunicación al Cliente, supresión y anonimización.

2.4. La finalidad del tratamiento es que PromptEye preste el Servicio al Cliente, incluyendo la garantía de seguridad, facturación, soporte técnico y desarrollo del Servicio, de conformidad con el Contrato.

2.5. Los datos personales se tratarán únicamente siguiendo instrucciones documentadas del Cliente, salvo que el tratamiento sea exigido por el Derecho de la Unión Europea o de un Estado miembro — en cuyo caso PromptEye informará al Cliente de dicha obligación antes de proceder al tratamiento, a menos que la ley lo prohíba.

3. Duración del tratamiento

3.1. PromptEye trata los datos personales durante la vigencia del Contrato y durante el período adicional necesario para:

  • cumplir las obligaciones relacionadas con la supresión o devolución de los datos,
  • garantizar las reclamaciones,
  • cumplir las obligaciones legales (p. ej., contables, fiscales),

de conformidad con la Política de privacidad.

3.2. Con carácter general, los Datos del Cliente se eliminan de los sistemas de producción de PromptEye en un plazo de 30 días a partir de la terminación del Contrato; las copias en sistemas de copia de seguridad pueden conservarse hasta 60 días desde la fecha de eliminación de los sistemas de producción.

4. Categorías de interesados, datos y base jurídica

4.1. El Servicio no está destinado, con carácter general, al tratamiento a gran escala de datos personales de terceros (p. ej., datos masivos de clientes finales), salvo que las partes acuerden expresamente lo contrario en el Contrato y en la configuración del Servicio.

Categorías de interesados cuyos datos pueden ser objeto de tratamiento:

  • empleados, colaboradores y otros representantes del Cliente,
  • otras personas cuyos datos el Cliente introduzca en el Servicio.

4.2. Categorías de datos:

  • datos de identificación y contacto (p. ej., nombre, apellidos, dirección de correo electrónico, cargo, datos de la empresa),
  • datos relativos al uso de la Plataforma (registros, identificadores de cuenta, configuraciones),
  • datos contenidos en prompts, informes y contenidos remitidos por el Cliente (en función del uso del Servicio por parte del Cliente, pueden contener datos personales).

4.3. El Cliente declara que dispone de una base jurídica adecuada para el tratamiento de datos personales y su encargo a PromptEye, de conformidad con el RGPD.

5. Obligaciones de PromptEye como encargado del tratamiento

5.1. PromptEye se compromete a:

  • tratar los datos personales únicamente siguiendo instrucciones documentadas del Cliente,
  • garantizar que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación legal apropiada de confidencialidad,
  • aplicar las medidas técnicas y organizativas adecuadas de conformidad con el art. 32 del RGPD,
  • asistir al Cliente en el cumplimiento de sus obligaciones frente a los interesados, en el ámbito establecido en el apartado 7,
  • asistir al Cliente en el cumplimiento de las obligaciones derivadas de los arts. 32 a 36 del RGPD (seguridad, notificación de violaciones, EIPD, consulta previa), en la medida razonable y teniendo en cuenta la naturaleza del tratamiento y la información disponible para PromptEye,
  • una vez finalizados los servicios de tratamiento, a elección del Cliente, suprimir o devolver todos los datos personales y eliminar las copias existentes, sin perjuicio de las obligaciones legales,
  • poner a disposición del Cliente toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente ATD y en el art. 28 del RGPD.

6. Medidas de seguridad

6.1. PromptEye implementa y mantiene medidas técnicas y organizativas que garantizan un nivel de seguridad adecuado al riesgo, incluyendo como mínimo:

  • cifrado de datos personales en tránsito (TLS) y en reposo,
  • control de acceso basado en roles (RBAC),
  • requisito de contraseñas seguras y posibilidad de activar la autenticación multifactor (MFA),
  • copias de seguridad y procedimientos de recuperación ante desastres,
  • supervisión y registro de eventos relevantes para la seguridad,
  • controles de acceso a la infraestructura (redes, centros de datos, entornos en la nube),
  • actualizaciones periódicas de software y dependencias.

6.2. Una descripción detallada de las medidas de seguridad vigentes podrá ponerse a disposición del Cliente en un documento separado o en el sitio web de PromptEye.

7. Derechos de los interesados

7.1. Teniendo en cuenta la naturaleza del tratamiento, PromptEye, en la medida de lo técnica y organizativamente posible, asiste al Cliente en el cumplimiento de sus obligaciones de responder a las solicitudes de los interesados, en particular en relación con:

  • el acceso a los datos,
  • la rectificación,
  • la supresión (“derecho al olvido”),
  • la limitación del tratamiento,
  • la portabilidad de los datos,
  • la oposición,
  • los derechos relacionados con la elaboración de perfiles y la toma de decisiones automatizada.

7.2. Si PromptEye recibe una solicitud relativa a datos tratados por cuenta del Cliente, PromptEye, cuando pueda identificar al responsable correspondiente, trasladará dicha solicitud al Cliente sin dilación, salvo que disposiciones legales específicas exijan a PromptEye responder de forma independiente.

7.3. La asistencia de PromptEye en el ejercicio de los derechos de los interesados puede conllevar costes adicionales para el Cliente si las solicitudes son excesivas o van más allá del alcance habitual del soporte.

8. Subencargados del tratamiento

8.1. El Cliente otorga a PromptEye una autorización general para contratar subencargados con el fin de prestar el Servicio. La lista actual de subencargados clave incluye en particular a proveedores de modelos de inteligencia artificial (LLMs) e infraestructura y herramientas en la nube, como proveedores de modelos de lenguaje (p. ej., OpenAI – modelos GPT, Perplexity, DeepSeek, proveedores de capas de agregación de respuestas de tipo AI Overview) y proveedores de infraestructura y herramientas de apoyo a la prestación del Servicio (p. ej., proveedores de nube, servicios de bases de datos, herramientas de comunicación y automatización de marketing). La lista de subencargados puede cambiar e incluye también otros proveedores de modelos de IA e infraestructura utilizados en el marco del Servicio, de conformidad con el procedimiento de notificación descrito en el presente ATD.

8.2. PromptEye garantiza que cada subencargado está vinculado por un contrato que le impone obligaciones no menos estrictas que las derivadas del presente ATD, en particular en materia de seguridad y confidencialidad.

8.3. PromptEye informará al Cliente (p. ej., a través del sitio web o por correo electrónico) sobre la incorporación, sustitución o eliminación de un subencargado. El Cliente podrá formular una objeción razonada a la contratación de un subencargado concreto en un plazo razonable tras recibir dicha notificación.

8.4. En caso de objeción válida, las partes negociarán de buena fe para encontrar una solución (p. ej., desactivación de una funcionalidad concreta, subencargado alternativo). Si esto no fuera posible, el Cliente podrá resolver el Contrato en la parte relativa a las funcionalidades que dependan de dicho subencargado o, si ello no fuera posible, el Contrato en su totalidad con efectos al final del período de facturación en curso.

9. Transferencias de datos fuera del EEE

9.1. Los datos personales pueden transferirse a terceros países (fuera del Espacio Económico Europeo), en particular a los Estados Unidos, en relación con el uso de los servicios de subencargados como proveedores de modelos LLM e infraestructura (p. ej., OpenAI, Perplexity, DeepSeek, proveedores de capas de agregación de respuestas de tipo AI Overview, proveedores de nube y herramientas de automatización de marketing).

9.2. En tal caso, PromptEye garantizará que las transferencias de datos se efectúen con las garantías jurídicas adecuadas de conformidad con el Capítulo V del RGPD, en particular mediante:

  • la celebración de Cláusulas Contractuales Tipo (CCT) adoptadas por la Comisión Europea, y/o
  • el uso de proveedores adheridos al Marco de Privacidad de Datos UE–EE. UU. (DPF), cuando proceda.

9.3. A petición del Cliente, PromptEye podrá facilitar información general sobre las garantías de transferencia aplicadas (sin revelar contenidos que constituyan secretos empresariales o estén sujetos a un acuerdo de confidencialidad).

10. Notificación de violaciones de seguridad de los datos

10.1. PromptEye notificará al Cliente sin dilación indebida toda violación de la seguridad de los datos personales que afecte a datos tratados por cuenta del Cliente.

10.2. La notificación contendrá — en la medida en que estén disponibles — las informaciones requeridas por el art. 33, apartado 3 del RGPD, en particular:

  • una descripción de la naturaleza de la violación,
  • las categorías y el número aproximado de interesados afectados,
  • las categorías y el número aproximado de registros de datos afectados,
  • una descripción de las posibles consecuencias de la violación,
  • una descripción de las medidas adoptadas o propuestas para remediar la violación.

10.3. PromptEye cooperará con el Cliente en el cumplimiento de sus obligaciones frente a la autoridad de control y los interesados, en la medida razonable, teniendo en cuenta la naturaleza de la violación y las obligaciones legales de las partes.

11. Auditorías e inspecciones

11.1. A petición del Cliente, PromptEye pondrá a disposición la información necesaria para demostrar el cumplimiento del presente ATD y del art. 28 del RGPD, en particular en forma de:

  • respuestas a cuestionarios de seguridad/RGPD,
  • resúmenes de informes de auditorías externas o certificaciones (cuando existan),
  • descripciones de medidas técnicas y organizativas.

11.2. En casos justificados, el Cliente podrá realizar (o encargar a un auditor independiente) una auditoría o inspección in situ, previa conformidad escrita sobre el alcance, el calendario y las condiciones de la auditoría, así como la firma de un acuerdo de confidencialidad.

11.3. Las auditorías in situ podrán realizarse como máximo una vez cada 12 meses, salvo que se haya producido una violación grave de la seguridad de los datos. Los costes de la auditoría correrán a cargo del Cliente, salvo que la ley disponga lo contrario.

12. Finalización del tratamiento, supresión y devolución de datos

12.1. Una vez finalizados los servicios de tratamiento de datos para el Cliente, PromptEye — de conformidad con la elección del Cliente comunicada antes de la terminación del Contrato — procederá a:

  • suprimir los datos personales de sus propios sistemas, o
  • entregar al Cliente una copia de los datos en un formato acordado (p. ej., exportación en CSV/JSON) y suprimir los datos de sus sistemas,

sin perjuicio de lo dispuesto en el apartado 12.2.

12.2. PromptEye podrá conservar los datos personales en la medida y durante el período necesarios para:

  • cumplir las obligaciones legales (p. ej., normativa fiscal y contable),
  • establecer, ejercitar o defenderse frente a reclamaciones.

12.3. Transcurrido el período de conservación mencionado en el apartado 3.2, los datos personales se suprimirán de forma permanente o se anonimizarán en los sistemas de copia de seguridad, en la medida permitida por la ley y técnicamente factible.

13. Responsabilidad y relación con el Contrato

13.1. La responsabilidad de las partes en relación con el presente ATD se rige por el Contrato y las Condiciones de servicio, sin perjuicio de las disposiciones legales imperativas.

13.2. En la medida en que las disposiciones del presente ATD sean más específicas que las Condiciones de servicio, el ATD prevalecerá en los asuntos relativos al tratamiento de datos personales por parte de PromptEye como encargado del tratamiento.