Acuerdo de Tratamiento de Datos
Celebrado conforme al art. 28.3 RGPD. Forma parte integrante de los Términos de Servicio y se aplica automáticamente a todos los clientes de WorkAist Cloud.
Vigente desde: 2026-07-10
Este documento se publica en varios idiomas. En caso de discrepancia, la versión en inglés es la vinculante.
1. Partes y roles
Este Acuerdo de Tratamiento de Datos (el «DPA») se celebra entre el cliente identificado en la cuenta de WorkAist (el «Responsable») e ILIN & SADOVENKO, LDA, Rua de Xabregas, nº 2, Escritório 3.21, 1900-440 Lisboa, Portugal, NIF 517251876 (el «Encargado»).
Respecto de los Datos del Cliente tratados en WorkAist Cloud, el Responsable determina los fines y medios del tratamiento, y el Encargado trata los datos por cuenta del Responsable. Cuando el Responsable sea a su vez encargado del tratamiento para un tercero, el Responsable garantiza que dispone de la facultad para celebrar este DPA y que las instrucciones que imparte reflejan las instrucciones de dicho tercero.
Este DPA no se aplica a WorkAist Self-Hosted, en el que los Datos del Cliente no llegan a los sistemas del Encargado, ni a los datos de los que el propio Encargado sea responsable del tratamiento, que se rigen por la Política de Privacidad.
2. Orden de prelación
En caso de conflicto entre este DPA y los Términos de Servicio, este DPA prevalece en materia de protección de datos. En caso de conflicto con un formulario de pedido negociado individualmente o con un acuerdo de tratamiento de datos firmado, prevalecerá ese documento.
3. Objeto, duración, naturaleza y finalidad
El objeto es la prestación de WorkAist Cloud. La naturaleza y finalidad del tratamiento consisten en el alojamiento, almacenamiento, transmisión y tratamiento automatizado de los Datos del Cliente para que puedan ejecutarse los Agentes, Connectors y procesos configurados por el Responsable, junto con las actividades de soporte, seguridad, medición y facturación necesarias para prestar el Servicio.
El tratamiento se prolonga durante todo el tiempo en que esté vigente el contrato del Responsable para WorkAist Cloud, más los plazos de eliminación previstos en la cláusula 11.
4. Categorías de interesados y de datos personales
El Responsable decide qué datos carga. Habitualmente, el tratamiento afecta a:
| Categorías de interesados | Categorías de datos personales |
|---|---|
| Empleados y usuarios autorizados del Responsable | Nombre, correo electrónico profesional, rol, datos de autenticación, entradas del registro de auditoría |
| Clientes, leads y contactos del Responsable | Nombre, correo electrónico, número de teléfono, empresa, correspondencia, registros de CRM, cualquier identificador que el Responsable decida sincronizar |
| Proveedores y socios del Responsable | Datos de contacto, datos de contratos y facturas |
| Cualquier interesado que figure en documentos o mensajes tratados por el Responsable | Cualquier dato personal contenido en archivos, correos electrónicos, transcripciones, imágenes o mensajes que el Responsable envíe al Servicio |
Las categorías especiales de datos personales conforme al art. 9 RGPD y los datos personales relativos a condenas e infracciones penales conforme al art. 10 RGPD no deben tratarse en el Servicio, salvo que las partes hayan acordado previamente por escrito garantías adicionales.
Origen de los datos
Los Datos del Cliente llegan al Servicio porque el Responsable conecta sistemas externos, carga archivos o instruye a sus Agentes para que los recaben. Únicamente el Responsable selecciona esas fuentes y determina qué se importa.
El Responsable garantiza que dispone de una base legítima conforme al art. 6 RGPD — y, cuando proceda, al art. 9 — para recabar dichos datos personales y transferirlos al Encargado, y que se encuentra en vigor cualquier información o consentimiento exigido en el sistema de origen. El Encargado no tiene acceso a los sistemas de origen del Responsable, no los selecciona, y ni verifica ni está en condiciones de verificar si cumplen con la normativa de protección de datos. Determinarlo es obligación del Responsable en su condición de responsable del tratamiento.
5. Tratamiento conforme a instrucciones documentadas
El Encargado trata los Datos del Cliente únicamente siguiendo las instrucciones documentadas del Responsable, incluso en lo relativo a las transferencias a terceros países, salvo que esté obligado a ello por el Derecho de la Unión o de un Estado miembro al que esté sujeto el Encargado. En tal caso, el Encargado informará al Responsable de ese requisito legal antes del tratamiento, salvo que dicho Derecho lo prohíba por razones importantes de interés público.
Los Términos de Servicio, este DPA y la configuración y el uso del Servicio por parte del Responsable constituyen la totalidad de las instrucciones documentadas del Responsable. Cualquier instrucción adicional deberá constar por escrito y, si requiere un esfuerzo superior a la funcionalidad estándar del Servicio, podrá estar sujeta a un cargo razonable acordado previamente.
El Encargado informará al Responsable sin demora injustificada si, a su juicio, una instrucción infringe el RGPD u otra normativa de protección de datos de la Unión o de un Estado miembro.
6. Confidencialidad
El Encargado garantiza que las personas autorizadas para tratar los Datos del Cliente se han comprometido a respetar la confidencialidad o están sujetas a una obligación legal adecuada de confidencialidad, y que el acceso se limita a quienes lo necesitan para la ejecución del contrato.
7. Seguridad del tratamiento
Teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como el riesgo para los derechos y libertades de las personas físicas, el Encargado aplica las siguientes medidas técnicas y organizativas conforme al art. 32 RGPD.
Anexo II — Medidas técnicas y organizativas
| Medida | Aplicación |
|---|---|
| Cifrado en tránsito | Todo el tráfico hacia y desde el Servicio se transmite mediante TLS con certificados renovados automáticamente. El tráfico interno entre servicios no sale de la red del host. |
| Cifrado de secretos | Las credenciales del cliente y los secretos de los connectors se cifran en reposo con AES-256-GCM bajo una clave mantenida fuera de la base de datos de la aplicación. |
| Seudonimización | Los registros de telemetría y medición hacen referencia a los clientes y agentes mediante un identificador en lugar de un nombre o correo electrónico, siempre que dicho identificador resulte suficiente. |
| Confidencialidad — control de acceso | Control de acceso basado en roles por espacio de trabajo. Cada agente está limitado a su propio prefijo de almacenamiento y a su propio esquema de base de datos; el acceso entre clientes se deniega a nivel de la capa de datos, no solo en la interfaz de usuario. |
| Confidencialidad — personal | Acceso administrativo conforme al principio de mínimo privilegio, concedido individualmente y revisado en caso de cambio de rol. Todas las acciones administrativas se registran en un registro de auditoría de solo adición. |
| Integridad | Validación de entradas y consultas parametrizadas en todo el sistema. Cada modificación realizada a través de la API de operaciones registra una entrada en el registro de auditoría que identifica al actor. |
| Disponibilidad y resiliencia | Alojamiento gestionado en un centro de datos de clase Tier III en Alemania. Copias de seguridad diarias automatizadas de la base de datos, mantenidas cifradas y separadas de producción. |
| Restauración | Procedimiento documentado de restauración a partir de la copia de seguridad más reciente; la restauración se pone a prueba como parte de los cambios de infraestructura. |
| Pruebas y evaluación | Análisis de vulnerabilidades de dependencias en la integración continua, revisión del código antes de su fusión, y revisión periódica de estas medidas al menos anualmente y ante cualquier cambio sustancial del Servicio. |
| Minimización de datos desde el diseño | Los Connectors sincronizan únicamente los campos habilitados por el Responsable. El Responsable puede eliminar cualquier tabla sincronizada en cualquier momento. |
El Encargado podrá actualizar estas medidas conforme evolucione la tecnología, siempre que no se reduzca el nivel de protección. La versión actual es siempre la publicada en esta página.
8. Subencargados del tratamiento
El Responsable otorga al Encargado una autorización general por escrito para contratar subencargados del tratamiento. El Encargado impone contractualmente a cada subencargado obligaciones de protección de datos no menos exigentes que las establecidas en este DPA, y sigue siendo plenamente responsable ante el Responsable del cumplimiento por parte del subencargado.
Anexo III — Subencargados del tratamiento autorizados
Los siguientes subencargados del tratamiento se contratan para todos los clientes de WorkAist Cloud, ya que forman parte de la infraestructura sobre la que se ejecuta el Servicio.
| Subencargado | Finalidad | Ubicación | Garantía de transferencia |
|---|---|---|---|
| Hetzner Online GmbH | Alojamiento de los servidores de aplicación, la base de datos y las copias de seguridad | Alemania (UE) | No aplicable |
| Cloudflare, Inc. | DNS, proxy inverso, terminación TLS, protección DDoS | Red global de borde, incluida la UE | CCT; EU-US Data Privacy Framework |
| Stripe Payments Europe, Ltd. | Procesamiento de pagos y suscripciones | Irlanda (UE) | CCT para transferencias ulteriores dentro del grupo; EU-US Data Privacy Framework |
| Resend, Inc. | Envío de correo electrónico transaccional | Estados Unidos | CCT |
Proveedores de modelos
Los proveedores de modelos de lenguaje de gran tamaño reciben un tratamiento distinto, ya que es el Responsable quien los elige.
- Si el Responsable facilita sus propias credenciales del proveedor, dicho proveedor es contratado por el Responsable, siguiendo las instrucciones del Responsable y en virtud del propio acuerdo del Responsable con él. No es un subencargado del tratamiento del Encargado. El Encargado se limita a transmitir la solicitud utilizando las credenciales facilitadas y no ofrece ninguna garantía respecto de la seguridad, el lugar de tratamiento, las prácticas de entrenamiento o el cumplimiento normativo de dicho proveedor.
- Si el Responsable utiliza la facturación gestionada de tokens del Encargado, es el Encargado quien selecciona el proveedor, y este es un subencargado del tratamiento del Encargado. El proveedor actualmente contratado en esa condición es Anthropic PBC (Estados Unidos), para la inferencia de modelos de lenguaje de gran tamaño, en virtud de Cláusulas Contractuales Tipo y con prohibición contractual de entrenar con los datos que se le envían.
El Responsable puede consultar en cualquier momento, dentro del Servicio, qué proveedor de modelo utiliza cada uno de sus Agentes, y puede modificarlo.
Cambios de subencargados del tratamiento
El Encargado notificará al Responsable por correo electrónico con al menos 30 días de antelación antes de incorporar o sustituir a un subencargado del tratamiento. El Responsable podrá oponerse por motivos razonables de protección de datos dentro de esos 30 días. Si las partes no logran resolver la objeción, el Responsable podrá resolver la parte afectada del Servicio sin penalización y recibir un reembolso a prorrata de las tarifas prepagadas.
9. Asistencia en relación con los derechos de los interesados
Teniendo en cuenta la naturaleza del tratamiento, el Encargado asiste al Responsable, mediante medidas técnicas y organizativas adecuadas, en la medida de lo posible, en el cumplimiento de la obligación del Responsable de responder a las solicitudes de ejercicio de los derechos del interesado conforme al capítulo III RGPD.
El Servicio otorga al Responsable acceso directo a los Datos del Cliente, de modo que pueda localizar, exportar, corregir y eliminar por sí mismo los datos personales. Cuando una solicitud requiera no obstante la intervención del Encargado, este responderá sin demora injustificada y, en todo caso, en el plazo de 10 días hábiles. Si un interesado contacta directamente con el Encargado en relación con los Datos del Cliente, el Encargado no responderá al fondo de la solicitud; la remitirá al Responsable sin demora injustificada.
10. Asistencia en relación con los artículos 32 a 36
El Encargado asiste al Responsable en el cumplimiento de las obligaciones establecidas en los arts. 32 a 36 RGPD, teniendo en cuenta la naturaleza del tratamiento y la información de que dispone el Encargado — en particular en relación con la seguridad del tratamiento, la notificación de violaciones de la seguridad de los datos personales, la comunicación a los interesados, las evaluaciones de impacto relativas a la protección de datos y la consulta previa.
Violación de la seguridad de los datos personales
El Encargado notificará al Responsable sin demora injustificada y, en todo caso, en el plazo de 48 horas, tras tener conocimiento de una violación de la seguridad de los datos personales que afecte a los Datos del Cliente. La notificación describirá la naturaleza de la violación, las categorías y el número aproximado de interesados y registros afectados, las posibles consecuencias, las medidas adoptadas o propuestas y un punto de contacto. Cuando no se disponga de toda la información a la vez, se facilitará por fases sin más demora injustificada. El Encargado no notificará a una autoridad de control ni a los interesados en nombre del Responsable, salvo que se le instruya para ello.
11. Eliminación y devolución de los Datos del Cliente
A elección del Responsable, el Encargado eliminará o devolverá todos los Datos del Cliente tras la finalización de la prestación de los servicios relacionados con el tratamiento, y eliminará las copias existentes, salvo que el Derecho de la Unión o de un Estado miembro exija la conservación de los datos personales.
- Durante los 30 días posteriores a la finalización del contrato, el Responsable podrá exportar los Datos del Cliente desde el Servicio, o solicitar su devolución en un formato estructurado, de uso común y legible por máquina.
- El Encargado eliminará los Datos del Cliente de los sistemas en producción en el plazo de 30 días tras el cierre de dicho periodo de exportación.
- Las copias de seguridad cifradas que contengan Datos del Cliente se sobrescribirán conforme a su rotación habitual y, en todo caso, en el plazo de 90 días desde su eliminación de los sistemas en producción.
- A solicitud por escrito, el Encargado confirmará la eliminación por escrito.
12. Auditorías e información
El Encargado pone a disposición del Responsable toda la información necesaria para demostrar el cumplimiento del art. 28 RGPD, y permite y contribuye a las auditorías, incluidas las inspecciones, realizadas por el Responsable o por otro auditor mandatado por el Responsable.
En la práctica, el Encargado facilita en primer lugar su documentación vigente sobre medidas técnicas y organizativas, su lista de subencargados del tratamiento, y respuestas por escrito a un cuestionario de seguridad. Cuando ello no sea suficiente para demostrar el cumplimiento, el Responsable podrá realizar una auditoría presencial o remota, previa notificación por escrito con 30 días de antelación, como máximo una vez por año natural, salvo que se haya producido una violación de la seguridad de los datos personales o que una autoridad de control así lo exija. Las auditorías se realizarán en horario laboral, no deberán perturbar de forma injustificada las operaciones del Encargado, y estarán sujetas a confidencialidad. El Responsable asumirá sus propios costes de auditoría; el Encargado asumirá los suyos, salvo que la auditoría revele un incumplimiento sustancial de este DPA.
13. Transferencias internacionales
El Encargado almacena los Datos del Cliente en reposo en Alemania. Las transferencias a subencargados del tratamiento fuera del Espacio Económico Europeo, según se indican en el Anexo III, se realizan en virtud de las Cláusulas Contractuales Tipo de la Comisión Europea (Decisión de Ejecución (UE) 2021/914), Módulo Tres, cuando el Encargado actúa como encargado del tratamiento que contrata a un subencargado, complementadas cuando proceda con garantías adicionales, y — cuando el destinatario esté certificado — en virtud de la decisión de adecuación relativa al EU-US Data Privacy Framework.
Al celebrar este DPA, el Responsable mandata al Encargado para que suscriba dichas Cláusulas Contractuales Tipo con cada subencargado del tratamiento en nombre y por cuenta del Responsable.
14. Responsabilidad
La responsabilidad conforme a este DPA se rige por la limitación de responsabilidad establecida en los Términos de Servicio, sin perjuicio de que nada limita la responsabilidad de ninguna de las partes frente a un interesado conforme al art. 82 RGPD ni frente a una autoridad de control.
15. Duración, ley aplicable y contacto
Este DPA entra en vigor en el momento en que comienza el contrato del Responsable para WorkAist Cloud y permanece vigente mientras el Encargado trate Datos del Cliente. Se rige por las leyes de Portugal, y los tribunales de Lisboa tienen jurisdicción exclusiva, sin perjuicio de lo dispuesto en el art. 79 RGPD.
Contacto para cualquier cuestión relativa a este DPA: [email protected].