Acuerdo de Procesamiento de Datos
Este Acuerdo de Procesamiento de Datos ("DPA") forma parte del Acuerdo Marco de Servicios entre The Extreme AI, Inc. y el Cliente identificado en la Orden de Trabajo aplicable, y rige el procesamiento de datos personales en el marco de dicho compromiso.
Fecha de entrada en vigor: Este DPA entra en vigor al momento de la firma de una Orden de Trabajo o, para los usuarios del sitio web, al aceptar nuestros Términos del Servicio.
- Definiciones
- Alcance y Aplicabilidad
- Funciones y Responsabilidades
- Detalles del Procesamiento
- Obligaciones del Encargado
- Medidas Técnicas y Organizativas
- Subencargados
- Transferencias Transfronterizas de Datos
- Derechos de los Interesados
- Notificación de Violaciones de Datos
- Derechos de Auditoría
- Devolución y Eliminación de Datos
- Vigencia y Terminación
- Formalizar un DPA Firmado
1. Definiciones
| "Responsable" | La entidad que determina los fines y los medios del procesamiento de datos personales. En la mayoría de los compromisos, este es el Cliente. |
| "Encargado" | La entidad que procesa datos personales en nombre del Responsable. En la mayoría de los compromisos, este es The Extreme AI. |
| "Datos Personales" | Cualquier información relativa a una persona física identificada o identificable, según se define en la legislación de protección de datos aplicable (incluidos el GDPR y la CCPA). |
| "Procesamiento" | Cualquier operación realizada sobre Datos Personales, incluida la recopilación, el almacenamiento, el uso, la divulgación y la eliminación. |
| "Interesado" | La persona física a la que se refieren los Datos Personales. |
| "GDPR" | El Reglamento General de Protección de Datos de la UE (2016/679) y, cuando corresponda, el GDPR del Reino Unido. |
| "CCPA" | La Ley de Privacidad del Consumidor de California (Cal. Civ. Code §1798.100 y siguientes), según la modificación introducida por la CPRA. |
| "SCCs" | Cláusulas Contractuales Tipo para la transferencia de datos personales a terceros países, según las aprobadas por la Comisión Europea. |
2. Alcance y Aplicabilidad
Este DPA se aplica cuando The Extreme AI procesa Datos Personales como Encargado en nombre de un Cliente (Responsable) en el curso de la prestación de servicios de consultoría e implementación de automatización con IA. Complementa la Orden de Trabajo aplicable y se incorpora a ella.
Cuando corresponda, este DPA también cubre: (a) los datos procesados cuando clientes potenciales interactúan con nuestro sitio web; y (b) los datos procesados en el curso de la prestación del Diagnóstico de IA, incluida la documentación de flujos de trabajo y los datos de negocio compartidos durante la evaluación de 14 días.
3. Funciones y Responsabilidades
El Cliente es el Responsable de los Datos Personales que proporciona a The Extreme AI o a los que The Extreme AI accede en el curso del compromiso. The Extreme AI es el Encargado.
The Extreme AI procesará Datos Personales únicamente conforme a las instrucciones documentadas del Cliente, salvo que la legislación aplicable lo exija. Si The Extreme AI determina que las instrucciones del Cliente infringen la legislación de protección de datos aplicable, lo notificará al Cliente sin demora.
En circunstancias limitadas (por ejemplo, para analítica del sitio web o facturación interna), The Extreme AI puede actuar como Responsable de su propia recopilación de datos. Este DPA rige únicamente la función de The Extreme AI como Encargado que actúa en nombre del Cliente.
4. Detalles del Procesamiento
Objeto
Servicios de desarrollo, implementación y automatización de agentes de IA, incluidos el análisis de flujos de trabajo, la integración de sistemas y la operación de agentes según se especifique en la Orden de Trabajo (SOW).
Duración
La vigencia de la SOW aplicable, más cualquier período de retención de datos posterior al compromiso exigido por la ley o especificado en la SOW.
Naturaleza del Procesamiento
Recopilación, almacenamiento, análisis, transformación y procesamiento automatizado de datos de negocio del Cliente mediante agentes de IA y canalizaciones de integración. Esto puede incluir acceso de lectura/escritura a sistemas CRM, plataformas de comunicación, bases de datos y repositorios de documentos según se especifique en la SOW.
Finalidad
Entregar los resultados de automatización especificados en la Orden de Trabajo. Los Datos Personales no se utilizarán para ningún fin más allá de los documentados en la SOW.
Categorías de Datos Personales
Pueden incluir, según el alcance del compromiso:
- Información de contacto de negocio (nombre, correo electrónico, teléfono, cargo) de los clientes y empleados del Cliente
- Datos de transacciones y financieros procesados por flujos de trabajo automatizados
- Datos de comunicación (contenido de correos electrónicos, transcripciones de llamadas) cuando los agentes automatizan la prospección o el soporte
- Datos operativos (programación, asignación de tareas, estado de flujos de trabajo)
- Cualquier otra categoría especificada en el Anexo de la SOW
Categorías de Interesados
Clientes, prospectos, empleados, contratistas y otras personas del Cliente cuyos datos se procesan a través de los sistemas del Cliente dentro del alcance del compromiso.
5. Obligaciones del Encargado
The Extreme AI acepta:
- Procesar Datos Personales únicamente conforme a las instrucciones documentadas del Cliente y no para ningún otro fin
- Garantizar que las personas autorizadas a procesar Datos Personales estén sujetas a obligaciones de confidencialidad
- Implementar y mantener medidas de seguridad técnicas y organizativas apropiadas (véase la Sección 6)
- Asistir al Cliente en la respuesta a las solicitudes de los interesados (véase la Sección 9)
- Asistir al Cliente con las Evaluaciones de Impacto relativas a la Protección de Datos (EIPD/DPIAs) cuando lo exija el Artículo 35 del GDPR
- Eliminar o devolver los Datos Personales tras la terminación del compromiso (véase la Sección 12)
- Proporcionar al Cliente toda la información necesaria para demostrar el cumplimiento de este DPA
- Notificar al Cliente sin demora indebida al tener conocimiento de una violación de datos personales (véase la Sección 10)
6. Medidas Técnicas y Organizativas
The Extreme AI implementa las siguientes medidas para garantizar una seguridad adecuada de los Datos Personales:
Medidas Organizativas
- Punto de contacto designado para la protección de datos, con responsabilidad de supervisar el cumplimiento
- Capacitación anual de los empleados en protección de datos
- Acceso bajo el principio de necesidad de conocer: los Datos Personales solo son accesibles para el personal que los requiere para su función específica
- Diligencia debida de proveedores para todos los subencargados
- Procedimientos documentados de respuesta a incidentes con rutas de escalamiento definidas
Medidas Técnicas
- Cifrado AES-256 para datos en reposo; TLS 1.3 para datos en tránsito
- Autenticación multifactor para todos los sistemas que acceden a Datos Personales
- Controles de acceso basados en roles con aplicación del privilegio mínimo
- Detección y enmascaramiento automatizados de PII en los registros de los agentes
- Registro de auditoría a prueba de manipulaciones de todos los eventos de acceso a Datos Personales
- Pruebas de penetración y evaluaciones de vulnerabilidades anuales
- Cumplimiento de SOC 2 Tipo II — informes disponibles bajo solicitud sujeta a NDA
Una descripción completa de las medidas técnicas y organizativas vigentes está disponible en nuestra documentación de Seguridad y Cumplimiento.
7. Subencargados
The Extreme AI recurre a las siguientes categorías de subencargados para ayudar a prestar los servicios. Todos los subencargados están sujetos a obligaciones de procesamiento de datos coherentes con este DPA.
| Subencargado | Finalidad | Ubicación de los Datos |
|---|---|---|
| Amazon Web Services (AWS) | Infraestructura en la nube y cómputo | EE. UU. / UE (configurable) |
| Google Cloud Platform (GCP) | Infraestructura en la nube y cómputo | EE. UU. / UE (configurable) |
| Microsoft Azure | Infraestructura en la nube (opcional) | EE. UU. / UE (configurable) |
| Anthropic | Inferencia de modelos de IA (Claude) | EE. UU. — retención cero de datos |
| OpenAI | Inferencia de modelos de IA (GPT) | EE. UU. — retención cero de datos |
| Supabase | Base de datos (portal del cliente) | US-East |
| Google Workspace | Colaboración interna y correo electrónico | EE. UU. |
| Calendly | Programación (solo página de reservas) | EE. UU. |
| Stripe | Procesamiento de pagos | EE. UU. |
The Extreme AI notificará al Cliente con al menos 30 días de antelación antes de añadir un nuevo subencargado o de realizar cambios sustanciales en los subencargados existentes. El Cliente podrá oponerse a un nuevo subencargado dentro de los 14 días siguientes a la notificación. Si The Extreme AI no puede atender la objeción, el Cliente podrá rescindir por causa justificada la parte afectada del compromiso.
8. Transferencias Transfronterizas de Datos
Cuando el Cliente esté ubicado en la UE o el Reino Unido, o cuando el compromiso implique el procesamiento de Datos Personales de la UE/Reino Unido:
- Los Datos Personales solo podrán transferirse a los Estados Unidos u otros terceros países de conformidad con los mecanismos de transferencia aplicables.
- Cláusulas Contractuales Tipo (SCCs): The Extreme AI se basa en las SCCs aprobadas por la Comisión Europea (Decisión de Ejecución de la Comisión 2021/914) como mecanismo principal de transferencia para las transferencias de datos de la UE a EE. UU. Bajo solicitud, formalizaremos los módulos pertinentes de las SCCs con el Cliente.
- Mecanismo de Transferencia del Reino Unido: Para los Datos Personales del Reino Unido, nos basamos en el Acuerdo Internacional de Transferencia de Datos (IDTA) del Reino Unido o en el Anexo del Reino Unido a las SCCs de la UE.
- Alojamiento en Región de la UE: Los Clientes que requieran residencia de datos exclusivamente en la UE pueden solicitar infraestructura en la nube de región de la UE sin cargo adicional (sujeto a disponibilidad).
9. Derechos de los Interesados
Como Encargado, The Extreme AI asistirá al Cliente (Responsable) en el cumplimiento de sus obligaciones de responder a las solicitudes de los interesados, incluidas las solicitudes para:
- Acceder a los datos personales que se tengan sobre ellos
- Corregir datos personales inexactos
- Eliminar datos personales ("derecho al olvido")
- Restringir el procesamiento
- Recibir datos personales en un formato portátil
- Oponerse al procesamiento
Al recibir una solicitud de un interesado relativa a los Datos Personales del Cliente, The Extreme AI: (a) no responderá directamente al interesado sin autorización del Cliente; (b) reenviará la solicitud al Cliente dentro de las 48 horas; (c) proporcionará asistencia técnica para ayudar al Cliente a responder dentro del plazo legal aplicable (30 días según el GDPR; 45 días según la CCPA).
10. Notificación de Violaciones de Datos
En caso de una violación de datos personales (acceso, divulgación, alteración o destrucción no autorizados de Datos Personales), The Extreme AI:
- Notificará al Cliente sin demora indebida y, en ningún caso, más tarde de 48 horas tras tener conocimiento de la violación
- Proporcionará: (a) una descripción de la naturaleza de la violación; (b) las categorías y el número aproximado de interesados y registros afectados; (c) las consecuencias probables de la violación; (d) las medidas adoptadas o propuestas para abordar la violación
- Cooperará con las labores de investigación y remediación del Cliente
- Documentará todas las violaciones, sus efectos y las acciones de remediación
El Cliente sigue siendo responsable de notificar a las autoridades de control pertinentes y a los interesados según lo exija la legislación aplicable. The Extreme AI proporcionará toda la información y asistencia necesarias para respaldar dichas notificaciones.
11. Derechos de Auditoría
The Extreme AI, previo aviso razonable por escrito (mínimo 14 días), permitirá que el Cliente o el auditor designado por el Cliente audite las actividades de procesamiento de datos de The Extreme AI para verificar el cumplimiento de este DPA. Dichas auditorías pueden incluir:
- Revisión de la documentación, políticas y procedimientos relacionados con el procesamiento de Datos Personales
- Inspección de las medidas de seguridad técnicas y organizativas
- Revisión de los registros de auditoría relevantes para los Datos Personales del Cliente
Las auditorías se limitan a una vez por año, salvo que se haya producido una violación de datos o exista evidencia razonable de incumplimiento. El Cliente es responsable del costo de cualquier auditor externo. The Extreme AI podrá satisfacer las obligaciones de auditoría proporcionando su informe SOC 2 Tipo II vigente.
12. Devolución y Eliminación de Datos
Tras la terminación o expiración del compromiso, o tras una solicitud por escrito del Cliente, The Extreme AI:
- Devolverá todos los Datos Personales al Cliente en un formato estructurado y legible por máquina (CSV, JSON o según se acuerde de otro modo) dentro de los 30 días
- Eliminará todas las copias restantes de Datos Personales de los sistemas de The Extreme AI dentro de los 60 días siguientes a la devolución, salvo cuando la retención sea exigida por la legislación aplicable
- Proporcionará una certificación por escrito de la eliminación bajo solicitud del Cliente
- Instruirá a los subencargados para que eliminen los Datos Personales en el mismo plazo
Ciertos datos podrán conservarse más allá de estos plazos cuando lo exijan: (a) la legislación aplicable (por ejemplo, registros financieros); (b) procedimientos legales; o (c) fines legítimos de monitoreo de seguridad (por ejemplo, registros de auditoría, sujetos a calendarios de eliminación automática).
13. Vigencia y Terminación
Este DPA permanece vigente durante la vigencia del compromiso al que se aplica, y hasta que todos los Datos Personales hayan sido devueltos o eliminados de conformidad con la Sección 12.
Este DPA termina automáticamente al terminar la SOW aplicable, con sujeción a las disposiciones de supervivencia relativas a las obligaciones de devolución/eliminación de datos (Sección 12), las obligaciones de notificación de violaciones (Sección 10) y las obligaciones de confidencialidad.
14. Formalizar un DPA Firmado
Esta página web proporciona los términos estándar del DPA. Para los clientes que requieran un documento de DPA formalmente firmado y refrendado (por ejemplo, para registros de cumplimiento del GDPR o requisitos de adquisición empresarial), proporcionamos una versión en PDF para su firma bilateral.
Para solicitar un DPA firmado:
- Envíe un correo electrónico a info@theextremeai.com con el asunto: "DPA Execution Request"
- Incluya: el nombre de su empresa, el domicilio registrado y el nombre de su Delegado de Protección de Datos o contacto legal
- Le devolveremos una copia refrendada dentro de los 3 días hábiles
Podemos formalizar un DPA antes de que comience cualquier conversación sensible. Escríbanos a info@theextremeai.com — estamos listos para NDA y DPA desde el primer día.