Acuerdo de Procesamiento de Datos (DPA)

Última Actualización: 15 de julio de 2025 De conformidad con el Art. 28 RGPD Entre

el Cliente (el “Responsable del Tratamiento”)
itellico AI GmbH, Postgasse 19, A-1010 Viena, Austria (el “Encargado del Tratamiento”)

Preámbulo

Este Adenda de Procesamiento de Datos (DPA) rige los derechos y obligaciones de las partes en relación con el procesamiento de datos personales para la ejecución del acuerdo de servicio celebrado entre las partes (“Acuerdo Principal”).

1. Objeto, Duración y Especificación del Procesamiento de Datos

1.1 Objeto

El objeto del procesamiento de datos es la prestación de los servicios definidos en el Acuerdo Principal.

1.2 Naturaleza y Finalidad del Procesamiento

El procesamiento sirve exclusivamente para proporcionar los servicios definidos en el Acuerdo Principal.

1.3 Naturaleza de los Datos Personales

Datos de Contenido:
- Datos de voz y audio de todas las interacciones
- Contenido de conversación en forma de texto (transcripciones)
- Todos los datos y contenido proporcionados por el Responsable del Tratamiento bajo el Acuerdo Principal
- Todos los datos e información proporcionados voluntariamente por el usuario final
Datos de Contacto (si son proporcionados por el usuario final):
- Número de teléfono (como parte de los datos de conexión)
- Nombre (si es proporcionado activamente por el usuario final, ya que no se solicita proactivamente)
- Dirección de correo electrónico (si es proporcionada activamente por el usuario final, ya que no se solicita proactivamente)
Datos de Uso (Metadatos para facturación y análisis):
- Identificadores únicos (por ejemplo, ID de llamada, ID de sesión)
- Marca de tiempo y duración de la interacción
- Consumo de tokens (para servicios basados en IA y fines de facturación)
- Parámetros técnicos de la transmisión
- Dirección IP

1.4 Categorías de Interesados

Usuarios finales del Responsable del Tratamiento (por ejemplo, clientes, prospectos) que interactúan con el asistente de voz de IA.

1.5 Duración del Procesamiento

La duración del procesamiento corresponde al plazo del Acuerdo Principal.

2. Obligaciones del Encargado del Tratamiento

2.1 Procesamiento según Instrucciones

El Encargado del Tratamiento procesará datos personales exclusivamente según las instrucciones documentadas del Responsable del Tratamiento, a menos que esté obligado a hacerlo por ley. El uso de los servicios definidos en el Acuerdo Principal por parte del Responsable del Tratamiento constituye tal instrucción.

2.2 Confidencialidad

El Encargado del Tratamiento garantizará que las personas autorizadas para procesar los datos personales estén comprometidas con la confidencialidad.

2.3 Medidas Técnicas y Organizativas (TOMs)

El Encargado del Tratamiento adoptará todas las medidas requeridas conforme al Art. 32 RGPD para la seguridad del procesamiento. Las TOMs específicas implementadas se enumeran en el Anexo de este acuerdo.

2.4 No Uso para Entrenamiento de IA

El Encargado del Tratamiento garantiza que para el procesamiento de datos de contenido como datos de voz y texto (por ejemplo, para transcripción, generación de contenido y síntesis de texto a voz), utiliza exclusivamente APIs de subencargados que garantizan contractualmente que los datos enviados no se utilizan para entrenar modelos de IA. Esto se aplica a todos los proveedores implementados con la excepción de Cartesia. El procesamiento se lleva a cabo de conformidad con las respectivas disposiciones de protección de datos de los proveedores implementados y las obligaciones establecidas en este acuerdo.

3. Subencargados del Tratamiento

3.1 Uso de Subencargados

El Responsable del Tratamiento otorga autorización general para el uso de subencargados para proporcionar los servicios contractuales. El Encargado del Tratamiento mantiene y actualiza una lista de todos los subencargados contratados en https://itellico.ai/legal/data-processors/.

3.2 Obligaciones Contractuales y Garantías

El Encargado del Tratamiento garantizará, mediante la celebración de contratos (típicamente los acuerdos estándar de procesamiento de datos de los proveedores), que cada subencargado esté sujeto a obligaciones de protección de datos que sean materialmente equivalentes a las establecidas en este DPA (de conformidad con el Art. 28(4) RGPD).

3.3 Transferencias a Terceros Países

Para subencargados ubicados fuera de la UE/EEE, el Encargado del Tratamiento garantizará que exista un nivel adecuado de protección de datos, por ejemplo, mediante certificación bajo el Marco de Privacidad de Datos UE-EE. UU. (cuando corresponda) o mediante la celebración de Cláusulas Contractuales Estándar de la UE (SCCs) e implementación de salvaguardas adicionales necesarias.

3.4 Información y Derecho de Oposición

El Encargado del Tratamiento informará al Responsable del Tratamiento de cualquier cambio previsto relativo a la adición o sustitución de otros subencargados al menos 15 días antes de la contratación planificada, dando así al Responsable del Tratamiento la oportunidad de oponerse por motivos importantes de protección de datos.

4. Derechos del Interesado

El Encargado del Tratamiento, en la medida de lo posible, asistirá al Responsable del Tratamiento con medidas técnicas y organizativas apropiadas en el cumplimiento de sus obligaciones relativas a los derechos de los interesados (por ejemplo, acceso, rectificación, supresión).

5. Asistencia al Responsable del Tratamiento

El Encargado del Tratamiento asistirá al Responsable del Tratamiento en garantizar el cumplimiento de sus obligaciones conforme a los Artículos 32 a 36 del RGPD (Seguridad del procesamiento, Notificación de violación de datos personales, Evaluación de impacto en la protección de datos).

5.1 Notificación de Violaciones de Datos

El Encargado del Tratamiento notificará al Responsable del Tratamiento de cualquier violación de datos personales sin demora indebida después de tener conocimiento de ella, de conformidad con el Art. 33(2) RGPD. La notificación se realizará a más tardar 24 horas después de tener conocimiento de la violación a privacy@itellico.ai.

6. Retención y Supresión de Datos

6.1 Procesamiento Durante la Vigencia del Acuerdo

Almacenamiento Estándar de Datos de Contenido y Contacto: Mientras el Acuerdo Principal esté activo, los datos de contenido (por ejemplo, grabaciones, transcripciones, bases de conocimiento, configuraciones) y datos de contacto asociados se almacenan para el Responsable del Tratamiento como parte del servicio acordado y no se eliminan automáticamente.
Procesamiento de Datos Configurable: El Responsable del Tratamiento puede controlar el procesamiento de varios tipos de datos a través de la configuración de la plataforma:
- Procesamiento Flexible: El Responsable del Tratamiento puede configurar ajustes de retención para varios tipos de datos con las siguientes categorías:
  - Configuraciones Completamente Configurables: Ciertos tipos de datos pueden deshabilitarse completamente (Retención Cero) o asignarse períodos de retención libremente configurables (por ejemplo, grabaciones de llamadas, análisis posteriores a llamadas automatizados como resúmenes).
  - Configuraciones de Retención Mínima: Otros tipos de datos están sujetos a períodos de retención mínimos según se define en otra parte de este DPA para fines operativos y legales, pero pueden configurarse para períodos de retención más largos más allá de estos mínimos (por ejemplo, transcripciones, indicaciones del sistema, registros de llamadas API).
- Retención Mínima: Las direcciones IP se retienen durante 30 días para seguridad informática y prevención de fraude y luego se eliminan o anonimizan. Los números de teléfono y otros metadatos técnicos se retienen hasta 90 días después de la facturación para cumplir con las regulaciones de telecomunicaciones y luego se eliminan o anonimizan automáticamente.
- Monitoreo de Abuso y Defensa Legal: De conformidad con los estándares de la industria, ciertos datos se retienen hasta 30 días para identificar abusos y garantizar el cumplimiento de las políticas de uso:
  - Indicaciones del sistema y contexto de conversación: retenido hasta 30 días para detección de abusos y análisis de patrones
  - Transcripciones de conversación y eventos: retenido hasta 30 días para monitorear el cumplimiento de las políticas de la plataforma
  - Registros de llamadas API y llamadas de función: retenido hasta 30 días para investigación técnica y resolución de disputas
  - Este período de retención se aplica independientemente de la configuración de retención del cliente y sirve a intereses comerciales legítimos en prevenir abusos de la plataforma y defenderse contra posibles violaciones reportadas por proveedores de servicios de IA.
- Retención Legal: Los metadatos relevantes para facturación deben retenerse de conformidad con las obligaciones legales y no pueden eliminarse prematuramente.
Límites de Configurabilidad: Los períodos de retención para datos de contenido configurables por el Responsable del Tratamiento no pueden ser más cortos que los períodos de retención mínimos para metadatos definidos por el Encargado del Tratamiento en la Sección 6.3. La generación y retención de metadatos relevantes para facturación y otros metadatos por parte del Encargado del Tratamiento permanecen sin afectación por la configuración específica del cliente.

6.2 Supresión de Datos de Tráfico y Otros Datos Personales

Supresión Automática de Datos de Tráfico según § 167 TKG 2021: El Encargado del Tratamiento suprime o anonimiza automáticamente los datos de tráfico (números de teléfono, marcas de tiempo exactas, IDs de llamada) según los siguientes cronogramas:

Prepago/Prepagado: Para llamadas cubiertas por prepagos o contratos anuales, la supresión ocurre 90 días después de la fecha de llamada. - Facturación Posterior: Para llamadas que se facturan posteriormente, la supresión ocurre 90 días después de la fecha de facturación.

Supresión y Devolución después del Fin del Contrato o a Solicitud: Después del Fin del Contrato: Al concluir la prestación de servicios de procesamiento (es decir, después de la terminación del Acuerdo Principal), el Encargado del Tratamiento está obligado a suprimir irrevocablemente todos los datos de contenido y contacto restantes después de un período de 90 días, incluyendo todas las copias existentes. Por Instrucción del Responsable del Tratamiento: A elección del Responsable del Tratamiento, el Encargado del Tratamiento (a) devolverá todos los datos personales al Responsable del Tratamiento o (b) suprimirá irrevocablemente todos los datos personales y copias existentes, a menos que el almacenamiento sea requerido por la legislación de la UE o de los estados miembros. Los metadatos relevantes para facturación deben continuar retenidos de conformidad con los períodos de retención legales.

6.3 Retención de Metadatos

La retención de metadatos está vinculada a la finalidad y diferenciada por tipo de datos:

Metadatos Relevantes para Facturación: Para cumplir con las obligaciones legales de contabilidad y documentación (por ejemplo, 7 años según § 212 UGB en Austria), los metadatos relevantes para facturación (por ejemplo, ID de cliente, duración, consumo de tokens) se retienen durante la duración de los períodos legales.
Datos Anonimizados: Después de la anonimización completa, los datos pueden retenerse indefinidamente para análisis estadístico y mejora del producto, ya que no tienen ninguna referencia personal.

7. Derechos de Auditoría

El Responsable del Tratamiento tiene el derecho de verificar el cumplimiento del Encargado del Tratamiento con las disposiciones de este acuerdo. Tales inspecciones se anunciarán con aviso razonable y se llevarán a cabo durante el horario comercial normal. El Encargado del Tratamiento también puede proporcionar evidencia de cumplimiento mediante la presentación de certificados, informes o atestaciones actuales y adecuados de auditores independientes (por ejemplo, auditores, responsables de protección de datos, certificaciones de seguridad).

Anexo – Medidas Técnicas y Organizativas (TOMs)

A partir de: 15 de julio de 2025 Las siguientes son las medidas técnicas y organizativas reales implementadas por el Encargado del Tratamiento para garantizar la seguridad del procesamiento de datos.

1. Control de Acceso Físico

Centros de Datos: AWS Frankfurt (eu-central-1) con cumplimiento del RGPD.
Acceso: Controles biométricos y monitoreo 24/7 por el centro de datos de AWS.

2. Control de Acceso al Sistema

Administradores: Autenticación multifactor (MFA) es obligatoria.
Aplicaciones: Autenticación API basada en tokens.
Principio: Control de acceso basado en roles estricto (RBAC).

3. Control de Acceso a Datos (Permisos)

Bases de Datos: Acceso exclusivamente desde dentro del clúster de Kubernetes protegido.
Almacenamiento: Políticas granulares de bucket S3 según el principio de privilegio mínimo.
Secretos: Uso de AWS Secrets Manager para todas las credenciales.

4. Control de Separación

Inquilinos: Separación lógica estricta de inquilinos a nivel de aplicación. A cada inquilino se le asigna un ID único (UUID) que se valida en cada solicitud de acceso a datos. Esto garantiza que las consultas solo puedan devolver datos pertenecientes al inquilino respectivo.
Entornos: Nubes Privadas Virtuales (VPCs) separadas para sistemas de desarrollo y producción.
Contenedores: Espacios de nombres de Kubernetes para aislamiento de servicios.

5. Seudonimización y Cifrado

Datos en Tránsito: TLS 1.3 para todas las transferencias de datos.
Datos en Reposo: Cifrado AES-256 para almacenamiento S3 y copias de seguridad.
Seudonimización: Aplicada a datos personales específicos cuando sea necesario.

6. Control de Disponibilidad

Alta Disponibilidad: Implementación Multi-AZ en al menos 3 Zonas de Disponibilidad.
Copias de Seguridad: Copias de seguridad automáticas regulares con períodos de retención apropiados.
Monitoreo: Monitoreo de rendimiento del sistema 24/7 con alertas automatizadas.

7. Control de Entrada (Registro)

Registros del Sistema: Uso de AWS CloudTrail para todas las llamadas API.
Registros de Acceso: Registro completo de todos los accesos a datos sensibles.
Auditoría: Registros de auditoría de Kubernetes para rastrear actividades de contenedores.

8. Control de Trabajo (Cumplimiento)

Procesos: Procedimientos Operativos Estándar (SOPs) documentados para operaciones críticas.
Gestión de Cambios: Infraestructura controlada por versiones (Infraestructura como Código).
Capacitación: Capacitación regular en protección de datos y seguridad para todos los empleados relevantes.

Primeros pasos

Crear

Probar

Lanzar

Optimizar

Cuentas y subcuentas

Red de socios

Legal

​Acuerdo de Procesamiento de Datos (DPA)

​Preámbulo

​1. Objeto, Duración y Especificación del Procesamiento de Datos

​1.1 Objeto

​1.2 Naturaleza y Finalidad del Procesamiento

​1.3 Naturaleza de los Datos Personales

​1.4 Categorías de Interesados

​1.5 Duración del Procesamiento

​2. Obligaciones del Encargado del Tratamiento

​2.1 Procesamiento según Instrucciones

​2.2 Confidencialidad

​2.3 Medidas Técnicas y Organizativas (TOMs)

​2.4 No Uso para Entrenamiento de IA

​3. Subencargados del Tratamiento

​3.1 Uso de Subencargados

​3.2 Obligaciones Contractuales y Garantías

​3.3 Transferencias a Terceros Países

​3.4 Información y Derecho de Oposición

​4. Derechos del Interesado

​5. Asistencia al Responsable del Tratamiento

​5.1 Notificación de Violaciones de Datos

​6. Retención y Supresión de Datos

​6.1 Procesamiento Durante la Vigencia del Acuerdo

​6.2 Supresión de Datos de Tráfico y Otros Datos Personales

​6.3 Retención de Metadatos

​7. Derechos de Auditoría

​Anexo – Medidas Técnicas y Organizativas (TOMs)

​1. Control de Acceso Físico

​2. Control de Acceso al Sistema

​3. Control de Acceso a Datos (Permisos)

​4. Control de Separación

​5. Seudonimización y Cifrado

​6. Control de Disponibilidad

​7. Control de Entrada (Registro)

​8. Control de Trabajo (Cumplimiento)