Acuerdo de Tratamiento de Datos

Celebrado conforme al art. 28.3 RGPD. Forma parte integrante de los Términos de Servicio y se aplica automáticamente a todos los clientes de WorkAist Cloud.

Vigente desde: 2026-07-10

Este documento se publica en varios idiomas. En caso de discrepancia, la versión en inglés es la vinculante.

1. Partes y roles

Este Acuerdo de Tratamiento de Datos (el «DPA») se celebra entre el cliente identificado en la cuenta de WorkAist (el «Responsable») e ILIN & SADOVENKO, LDA, Rua de Xabregas, nº 2, Escritório 3.21, 1900-440 Lisboa, Portugal, NIF 517251876 (el «Encargado»).

Respecto de los Datos del Cliente tratados en WorkAist Cloud, el Responsable determina los fines y medios del tratamiento, y el Encargado trata los datos por cuenta del Responsable. Cuando el Responsable sea a su vez encargado del tratamiento para un tercero, el Responsable garantiza que dispone de la facultad para celebrar este DPA y que las instrucciones que imparte reflejan las instrucciones de dicho tercero.

Este DPA no se aplica a WorkAist Self-Hosted, en el que los Datos del Cliente no llegan a los sistemas del Encargado, ni a los datos de los que el propio Encargado sea responsable del tratamiento, que se rigen por la Política de Privacidad.

2. Orden de prelación

En caso de conflicto entre este DPA y los Términos de Servicio, este DPA prevalece en materia de protección de datos. En caso de conflicto con un formulario de pedido negociado individualmente o con un acuerdo de tratamiento de datos firmado, prevalecerá ese documento.

3. Objeto, duración, naturaleza y finalidad

El objeto es la prestación de WorkAist Cloud. La naturaleza y finalidad del tratamiento consisten en el alojamiento, almacenamiento, transmisión y tratamiento automatizado de los Datos del Cliente para que puedan ejecutarse los Agentes, Connectors y procesos configurados por el Responsable, junto con las actividades de soporte, seguridad, medición y facturación necesarias para prestar el Servicio.

El tratamiento se prolonga durante todo el tiempo en que esté vigente el contrato del Responsable para WorkAist Cloud, más los plazos de eliminación previstos en la cláusula 11.

4. Categorías de interesados y de datos personales

El Responsable decide qué datos carga. Habitualmente, el tratamiento afecta a:

Categorías de interesadosCategorías de datos personales
Empleados y usuarios autorizados del ResponsableNombre, correo electrónico profesional, rol, datos de autenticación, entradas del registro de auditoría
Clientes, leads y contactos del ResponsableNombre, correo electrónico, número de teléfono, empresa, correspondencia, registros de CRM, cualquier identificador que el Responsable decida sincronizar
Proveedores y socios del ResponsableDatos de contacto, datos de contratos y facturas
Cualquier interesado que figure en documentos o mensajes tratados por el ResponsableCualquier dato personal contenido en archivos, correos electrónicos, transcripciones, imágenes o mensajes que el Responsable envíe al Servicio

Las categorías especiales de datos personales conforme al art. 9 RGPD y los datos personales relativos a condenas e infracciones penales conforme al art. 10 RGPD no deben tratarse en el Servicio, salvo que las partes hayan acordado previamente por escrito garantías adicionales.

Origen de los datos

Los Datos del Cliente llegan al Servicio porque el Responsable conecta sistemas externos, carga archivos o instruye a sus Agentes para que los recaben. Únicamente el Responsable selecciona esas fuentes y determina qué se importa.

El Responsable garantiza que dispone de una base legítima conforme al art. 6 RGPD — y, cuando proceda, al art. 9 — para recabar dichos datos personales y transferirlos al Encargado, y que se encuentra en vigor cualquier información o consentimiento exigido en el sistema de origen. El Encargado no tiene acceso a los sistemas de origen del Responsable, no los selecciona, y ni verifica ni está en condiciones de verificar si cumplen con la normativa de protección de datos. Determinarlo es obligación del Responsable en su condición de responsable del tratamiento.

5. Tratamiento conforme a instrucciones documentadas

El Encargado trata los Datos del Cliente únicamente siguiendo las instrucciones documentadas del Responsable, incluso en lo relativo a las transferencias a terceros países, salvo que esté obligado a ello por el Derecho de la Unión o de un Estado miembro al que esté sujeto el Encargado. En tal caso, el Encargado informará al Responsable de ese requisito legal antes del tratamiento, salvo que dicho Derecho lo prohíba por razones importantes de interés público.

Los Términos de Servicio, este DPA y la configuración y el uso del Servicio por parte del Responsable constituyen la totalidad de las instrucciones documentadas del Responsable. Cualquier instrucción adicional deberá constar por escrito y, si requiere un esfuerzo superior a la funcionalidad estándar del Servicio, podrá estar sujeta a un cargo razonable acordado previamente.

El Encargado informará al Responsable sin demora injustificada si, a su juicio, una instrucción infringe el RGPD u otra normativa de protección de datos de la Unión o de un Estado miembro.

6. Confidencialidad

El Encargado garantiza que las personas autorizadas para tratar los Datos del Cliente se han comprometido a respetar la confidencialidad o están sujetas a una obligación legal adecuada de confidencialidad, y que el acceso se limita a quienes lo necesitan para la ejecución del contrato.

7. Seguridad del tratamiento

Teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como el riesgo para los derechos y libertades de las personas físicas, el Encargado aplica las siguientes medidas técnicas y organizativas conforme al art. 32 RGPD.

Anexo II — Medidas técnicas y organizativas

MedidaAplicación
Cifrado en tránsitoTodo el tráfico hacia y desde el Servicio se transmite mediante TLS con certificados renovados automáticamente. El tráfico interno entre servicios no sale de la red del host.
Cifrado de secretosLas credenciales del cliente y los secretos de los connectors se cifran en reposo con AES-256-GCM bajo una clave mantenida fuera de la base de datos de la aplicación.
SeudonimizaciónLos registros de telemetría y medición hacen referencia a los clientes y agentes mediante un identificador en lugar de un nombre o correo electrónico, siempre que dicho identificador resulte suficiente.
Confidencialidad — control de accesoControl de acceso basado en roles por espacio de trabajo. Cada agente está limitado a su propio prefijo de almacenamiento y a su propio esquema de base de datos; el acceso entre clientes se deniega a nivel de la capa de datos, no solo en la interfaz de usuario.
Confidencialidad — personalAcceso administrativo conforme al principio de mínimo privilegio, concedido individualmente y revisado en caso de cambio de rol. Todas las acciones administrativas se registran en un registro de auditoría de solo adición.
IntegridadValidación de entradas y consultas parametrizadas en todo el sistema. Cada modificación realizada a través de la API de operaciones registra una entrada en el registro de auditoría que identifica al actor.
Disponibilidad y resilienciaAlojamiento gestionado en un centro de datos de clase Tier III en Alemania. Copias de seguridad diarias automatizadas de la base de datos, mantenidas cifradas y separadas de producción.
RestauraciónProcedimiento documentado de restauración a partir de la copia de seguridad más reciente; la restauración se pone a prueba como parte de los cambios de infraestructura.
Pruebas y evaluaciónAnálisis de vulnerabilidades de dependencias en la integración continua, revisión del código antes de su fusión, y revisión periódica de estas medidas al menos anualmente y ante cualquier cambio sustancial del Servicio.
Minimización de datos desde el diseñoLos Connectors sincronizan únicamente los campos habilitados por el Responsable. El Responsable puede eliminar cualquier tabla sincronizada en cualquier momento.

El Encargado podrá actualizar estas medidas conforme evolucione la tecnología, siempre que no se reduzca el nivel de protección. La versión actual es siempre la publicada en esta página.

8. Subencargados del tratamiento

El Responsable otorga al Encargado una autorización general por escrito para contratar subencargados del tratamiento. El Encargado impone contractualmente a cada subencargado obligaciones de protección de datos no menos exigentes que las establecidas en este DPA, y sigue siendo plenamente responsable ante el Responsable del cumplimiento por parte del subencargado.

Anexo III — Subencargados del tratamiento autorizados

Los siguientes subencargados del tratamiento se contratan para todos los clientes de WorkAist Cloud, ya que forman parte de la infraestructura sobre la que se ejecuta el Servicio.

SubencargadoFinalidadUbicaciónGarantía de transferencia
Hetzner Online GmbHAlojamiento de los servidores de aplicación, la base de datos y las copias de seguridadAlemania (UE)No aplicable
Cloudflare, Inc.DNS, proxy inverso, terminación TLS, protección DDoSRed global de borde, incluida la UECCT; EU-US Data Privacy Framework
Stripe Payments Europe, Ltd.Procesamiento de pagos y suscripcionesIrlanda (UE)CCT para transferencias ulteriores dentro del grupo; EU-US Data Privacy Framework
Resend, Inc.Envío de correo electrónico transaccionalEstados UnidosCCT

Proveedores de modelos

Los proveedores de modelos de lenguaje de gran tamaño reciben un tratamiento distinto, ya que es el Responsable quien los elige.

  • Si el Responsable facilita sus propias credenciales del proveedor, dicho proveedor es contratado por el Responsable, siguiendo las instrucciones del Responsable y en virtud del propio acuerdo del Responsable con él. No es un subencargado del tratamiento del Encargado. El Encargado se limita a transmitir la solicitud utilizando las credenciales facilitadas y no ofrece ninguna garantía respecto de la seguridad, el lugar de tratamiento, las prácticas de entrenamiento o el cumplimiento normativo de dicho proveedor.
  • Si el Responsable utiliza la facturación gestionada de tokens del Encargado, es el Encargado quien selecciona el proveedor, y este es un subencargado del tratamiento del Encargado. El proveedor actualmente contratado en esa condición es Anthropic PBC (Estados Unidos), para la inferencia de modelos de lenguaje de gran tamaño, en virtud de Cláusulas Contractuales Tipo y con prohibición contractual de entrenar con los datos que se le envían.

El Responsable puede consultar en cualquier momento, dentro del Servicio, qué proveedor de modelo utiliza cada uno de sus Agentes, y puede modificarlo.

Cambios de subencargados del tratamiento

El Encargado notificará al Responsable por correo electrónico con al menos 30 días de antelación antes de incorporar o sustituir a un subencargado del tratamiento. El Responsable podrá oponerse por motivos razonables de protección de datos dentro de esos 30 días. Si las partes no logran resolver la objeción, el Responsable podrá resolver la parte afectada del Servicio sin penalización y recibir un reembolso a prorrata de las tarifas prepagadas.

9. Asistencia en relación con los derechos de los interesados

Teniendo en cuenta la naturaleza del tratamiento, el Encargado asiste al Responsable, mediante medidas técnicas y organizativas adecuadas, en la medida de lo posible, en el cumplimiento de la obligación del Responsable de responder a las solicitudes de ejercicio de los derechos del interesado conforme al capítulo III RGPD.

El Servicio otorga al Responsable acceso directo a los Datos del Cliente, de modo que pueda localizar, exportar, corregir y eliminar por sí mismo los datos personales. Cuando una solicitud requiera no obstante la intervención del Encargado, este responderá sin demora injustificada y, en todo caso, en el plazo de 10 días hábiles. Si un interesado contacta directamente con el Encargado en relación con los Datos del Cliente, el Encargado no responderá al fondo de la solicitud; la remitirá al Responsable sin demora injustificada.

10. Asistencia en relación con los artículos 32 a 36

El Encargado asiste al Responsable en el cumplimiento de las obligaciones establecidas en los arts. 32 a 36 RGPD, teniendo en cuenta la naturaleza del tratamiento y la información de que dispone el Encargado — en particular en relación con la seguridad del tratamiento, la notificación de violaciones de la seguridad de los datos personales, la comunicación a los interesados, las evaluaciones de impacto relativas a la protección de datos y la consulta previa.

Violación de la seguridad de los datos personales

El Encargado notificará al Responsable sin demora injustificada y, en todo caso, en el plazo de 48 horas, tras tener conocimiento de una violación de la seguridad de los datos personales que afecte a los Datos del Cliente. La notificación describirá la naturaleza de la violación, las categorías y el número aproximado de interesados y registros afectados, las posibles consecuencias, las medidas adoptadas o propuestas y un punto de contacto. Cuando no se disponga de toda la información a la vez, se facilitará por fases sin más demora injustificada. El Encargado no notificará a una autoridad de control ni a los interesados en nombre del Responsable, salvo que se le instruya para ello.

11. Eliminación y devolución de los Datos del Cliente

A elección del Responsable, el Encargado eliminará o devolverá todos los Datos del Cliente tras la finalización de la prestación de los servicios relacionados con el tratamiento, y eliminará las copias existentes, salvo que el Derecho de la Unión o de un Estado miembro exija la conservación de los datos personales.

  • Durante los 30 días posteriores a la finalización del contrato, el Responsable podrá exportar los Datos del Cliente desde el Servicio, o solicitar su devolución en un formato estructurado, de uso común y legible por máquina.
  • El Encargado eliminará los Datos del Cliente de los sistemas en producción en el plazo de 30 días tras el cierre de dicho periodo de exportación.
  • Las copias de seguridad cifradas que contengan Datos del Cliente se sobrescribirán conforme a su rotación habitual y, en todo caso, en el plazo de 90 días desde su eliminación de los sistemas en producción.
  • A solicitud por escrito, el Encargado confirmará la eliminación por escrito.

12. Auditorías e información

El Encargado pone a disposición del Responsable toda la información necesaria para demostrar el cumplimiento del art. 28 RGPD, y permite y contribuye a las auditorías, incluidas las inspecciones, realizadas por el Responsable o por otro auditor mandatado por el Responsable.

En la práctica, el Encargado facilita en primer lugar su documentación vigente sobre medidas técnicas y organizativas, su lista de subencargados del tratamiento, y respuestas por escrito a un cuestionario de seguridad. Cuando ello no sea suficiente para demostrar el cumplimiento, el Responsable podrá realizar una auditoría presencial o remota, previa notificación por escrito con 30 días de antelación, como máximo una vez por año natural, salvo que se haya producido una violación de la seguridad de los datos personales o que una autoridad de control así lo exija. Las auditorías se realizarán en horario laboral, no deberán perturbar de forma injustificada las operaciones del Encargado, y estarán sujetas a confidencialidad. El Responsable asumirá sus propios costes de auditoría; el Encargado asumirá los suyos, salvo que la auditoría revele un incumplimiento sustancial de este DPA.

13. Transferencias internacionales

El Encargado almacena los Datos del Cliente en reposo en Alemania. Las transferencias a subencargados del tratamiento fuera del Espacio Económico Europeo, según se indican en el Anexo III, se realizan en virtud de las Cláusulas Contractuales Tipo de la Comisión Europea (Decisión de Ejecución (UE) 2021/914), Módulo Tres, cuando el Encargado actúa como encargado del tratamiento que contrata a un subencargado, complementadas cuando proceda con garantías adicionales, y — cuando el destinatario esté certificado — en virtud de la decisión de adecuación relativa al EU-US Data Privacy Framework.

Al celebrar este DPA, el Responsable mandata al Encargado para que suscriba dichas Cláusulas Contractuales Tipo con cada subencargado del tratamiento en nombre y por cuenta del Responsable.

14. Responsabilidad

La responsabilidad conforme a este DPA se rige por la limitación de responsabilidad establecida en los Términos de Servicio, sin perjuicio de que nada limita la responsabilidad de ninguna de las partes frente a un interesado conforme al art. 82 RGPD ni frente a una autoridad de control.

15. Duración, ley aplicable y contacto

Este DPA entra en vigor en el momento en que comienza el contrato del Responsable para WorkAist Cloud y permanece vigente mientras el Encargado trate Datos del Cliente. Se rige por las leyes de Portugal, y los tribunales de Lisboa tienen jurisdicción exclusiva, sin perjuicio de lo dispuesto en el art. 79 RGPD.

Contacto para cualquier cuestión relativa a este DPA: [email protected].