Información legal
Acuerdo de Encargo del Tratamiento
Conforme al artículo 28 del RGPD · Última actualización: [FECHA DE PUBLICACIÓN]
Este Acuerdo de Encargo del Tratamiento (en adelante, «DPA») forma parte integrante de las Condiciones de Uso y regula el tratamiento de datos personales que Outsider.ai (el «Encargado») realiza por cuenta del Cliente (el «Responsable») al prestar el servicio Reviú. Resulta de aplicación siempre que el Encargado trate datos personales por cuenta del Responsable, con independencia de que el Servicio se preste de forma gratuita o de pago. En caso de conflicto con las Condiciones de Uso respecto del tratamiento de datos, prevalece este DPA.
1Partes
- Responsable del tratamiento: el Cliente que contrata o utiliza el Servicio — [denominación / nombre, NIF y domicilio del Cliente].
- Encargado del tratamiento: Outsider.ai — [titular fiscal, NIF y domicilio], con correo [email protected].
La aceptación de las Condiciones de Uso en el momento del registro implica la aceptación de este DPA por ambas partes.
2Objeto
El presente DPA regula las condiciones en las que el Encargado trata, por cuenta del Responsable, los datos personales necesarios para prestar el Servicio: principalmente la extracción de reseñas de los negocios indicados por el Responsable y su análisis y procesamiento mediante modelos de lenguaje (LLM), así como la generación de borradores de respuesta. La descripción detallada figura en el Anexo I.
3Tratamiento conforme a instrucciones
El Encargado tratará los datos personales únicamente siguiendo instrucciones documentadas del Responsable, incluidas las relativas a transferencias internacionales, salvo que el Derecho de la UE o de un Estado miembro le obligue a otra cosa, en cuyo caso lo informará previamente (salvo prohibición legal). Las funcionalidades contratadas y este DPA constituyen las instrucciones iniciales del Responsable. El Encargado no utilizará los datos para fines propios ni los cederá a terceros salvo lo previsto aquí u obligación legal.
4Duración
Este DPA estará vigente mientras el Encargado trate datos por cuenta del Responsable, esto es, durante la vigencia del contrato principal. A su finalización se aplicará lo previsto en la cláusula 11.
5Obligaciones del Encargado (art. 28.3 RGPD)
El Encargado se obliga a:
- Tratar los datos solo conforme a las instrucciones documentadas del Responsable (cláusula 3).
- Garantizar que las personas autorizadas a tratar los datos se han comprometido a respetar la confidencialidad o están sujetas a un deber legal de confidencialidad.
- Aplicar las medidas técnicas y organizativas apropiadas (art. 32 RGPD) descritas en el Anexo II.
- Respetar las condiciones para recurrir a otros encargados (subencargados) (cláusula 7).
- Asistir al Responsable para atender las solicitudes de ejercicio de derechos de los interesados (cláusula 10).
- Ayudar al Responsable a cumplir sus obligaciones de seguridad, notificación de violaciones y evaluaciones de impacto (EIPD), teniendo en cuenta la información disponible.
- Suprimir o devolver los datos al finalizar la prestación (cláusula 11).
- Poner a disposición del Responsable la información necesaria para demostrar el cumplimiento y permitir auditorías (cláusula 12).
- Informar de inmediato al Responsable si, en su opinión, una instrucción infringe el RGPD u otra normativa de protección de datos.
6Obligaciones del Responsable
- Disponer de base jurídica para el tratamiento y para encargarlo al Encargado.
- Garantizar la base jurídica para tratar las reseñas de los negocios seleccionados (propios o de terceros) y haber informado a los interesados cuando proceda.
- Facilitar instrucciones lícitas y documentadas, y comunicar cualquier cambio relevante.
7Subencargados
El Responsable autoriza con carácter general al Encargado a recurrir a los subencargados indicados en el Anexo III para prestar el Servicio. El Encargado: (i) impondrá a cada subencargado, mediante contrato, las mismas obligaciones de protección de datos que las de este DPA; (ii) seguirá siendo plenamente responsable frente al Responsable del cumplimiento por parte del subencargado; y (iii) informará de cualquier alta o sustitución de subencargados, dando al Responsable la posibilidad de oponerse por motivos razonables.
8Transferencias internacionales
Cuando el tratamiento implique transferencias fuera del Espacio Económico Europeo (por ejemplo, hacia subencargados en EE. UU. como SerpAPI, Groq o Google), estas se realizarán con las garantías adecuadas del art. 46 RGPD (Cláusulas Contractuales Tipo y/o adhesión al EU-U.S. Data Privacy Framework, cuando proceda). [Confirmar el mecanismo aplicable a cada subencargado.]
9Violaciones de la seguridad de los datos
El Encargado notificará al Responsable sin dilación indebida y, a más tardar, dentro de las [48–72] horas desde que tenga conocimiento de una violación de la seguridad que afecte a los datos tratados por su cuenta, aportando la información razonablemente disponible para que el Responsable pueda cumplir, en su caso, con sus obligaciones de notificación a la autoridad de control y a los interesados (arts. 33 y 34 RGPD).
10Asistencia y derechos de los interesados
Teniendo en cuenta la naturaleza del tratamiento, el Encargado asistirá al Responsable, mediante medidas técnicas y organizativas apropiadas, para responder a las solicitudes de ejercicio de derechos (acceso, rectificación, supresión, oposición, limitación y portabilidad). Si un interesado dirige una solicitud directamente al Encargado, este la trasladará al Responsable sin dilación indebida y no responderá por sí mismo salvo instrucción del Responsable.
11Devolución o supresión al finalizar
A la finalización de la prestación del Servicio, el Encargado, a elección del Responsable, devolverá o suprimirá los datos personales tratados por su cuenta y eliminará las copias existentes, salvo que el Derecho de la UE o de un Estado miembro exija su conservación. Se establece un plazo razonable de [p. ej. 30 días] para la exportación de los datos por el Responsable antes de su supresión.
12Auditoría y demostración del cumplimiento
El Encargado pondrá a disposición del Responsable la información necesaria para demostrar el cumplimiento de las obligaciones del art. 28 RGPD y permitirá y contribuirá a la realización de auditorías, incluidas inspecciones, por el Responsable o un auditor por él designado, con preaviso razonable y sin comprometer la seguridad o la confidencialidad de otros clientes.
13Responsabilidad
Cada parte responderá conforme al art. 82 RGPD por los daños que cause su incumplimiento. El Responsable responde de la licitud del tratamiento y de las instrucciones; el Encargado, del cumplimiento de las obligaciones que el RGPD impone específicamente a los encargados y de actuar conforme a las instrucciones lícitas del Responsable.
14Anexos
Anexo I · Descripción del tratamiento
- Objeto: análisis de reseñas e inteligencia para negocios de restauración.
- Naturaleza y operaciones: extracción (vía SerpAPI), almacenamiento, análisis y procesamiento mediante LLM (Groq y, en su caso, Google Gemini), generación de borradores de respuesta.
- Finalidad: prestar el Servicio Reviú por cuenta del Responsable.
- Duración: la del contrato principal.
- Categorías de datos: contenido y valoración de reseñas, nombre o alias público del autor, fecha; datos de terceros que las reseñas puedan contener (p. ej. empleados mencionados). No se prevén categorías especiales (art. 9).
- Categorías de interesados: autores de las reseñas, personal del negocio mencionado y, en su caso, clientes del Responsable.
Anexo II · Medidas de seguridad (art. 32)
- Cifrado de las comunicaciones (HTTPS/TLS) y almacenamiento cifrado de credenciales.
- Control de acceso por roles y autenticación mediante cookies de sesión seguras (HttpOnly) con protección CSRF.
- Seudonimización cuando proceda, registros de actividad y trazabilidad.
- Copias de seguridad y procedimientos de recuperación.
- Gestión de proveedores/subencargados y revisión periódica de medidas.
- [Completar con las medidas técnicas y organizativas reales implementadas.]
Anexo III · Subencargados autorizados
| Subencargado | Finalidad | Ubicación |
|---|---|---|
| SerpApi, LLC (SerpAPI) | Extracción de reseñas de plataformas públicas | EE. UU. |
| Groq, Inc. | Modelo de lenguaje (LLM) principal | EE. UU. |
| Google (Gemini API / Maps Platform) | Agente conversacional (opcional) y geolocalización | EE. UU. / UE |
| MONEI | Pasarela de pago y suscripciones | UE (España) |
| [Proveedor de hosting/cloud] | Infraestructura y alojamiento | [—] |
| [Proveedor de email] | Correo transaccional | [—] |