Acuerdo de Procesamiento de Datos (DPA)
1.- INTRODUCCIÓN
El presente Acuerdo de Procesamiento de Datos (DPA) constituye un anexo al contrato de prestación de servicios suscrito entre KoraiTech S.L. (en adelante, KoraiTech) y el Cliente. La firma de dicho contrato implica la aceptación de este DPA, aplicable desde el inicio de la relación contractual y parte integrante de los Términos y Condiciones Generales de Contratación y Uso publicados en koraitech.com. Este DPA también resulta vinculante en caso de demostraciones o pruebas gratuitas.
KoraiTech S.L., con domicilio fiscal en Valencia, España y CIF B12345678, es titular del sitio web y de los servicios ofrecidos en él, y actúa como Encargado del Tratamiento en el marco de la prestación del servicio.
El Cliente es la entidad que contrata la plataforma gestionada por KoraiTech; su razón social y demás datos identificativos se recogerán en el contrato de servicios.
El sitio web hace referencia al software desarrollado por KoraiTech para facilitar la automatización de procesos empresariales mediante inteligencia artificial, incluyendo la generación de contenido, gestión de citas, procesamiento de documentos y otras funcionalidades.
Los Subprocesadores son los encargados del tratamiento a los que podría recurrir KoraiTech para ejecutar determinadas actividades de procesamiento por cuenta del Cliente, conforme al artículo 28.4 del RGPD.
2.- CAPACIDAD DE REPRESENTACIÓN DE LOS INTERVINIENTES
Las personas que firmen el contrato de prestación de servicios declaran responsablemente disponer de la capacidad de representación necesaria para obligar válidamente a KoraiTech, como proveedor y encargado del tratamiento, y al Cliente como usuario de los servicios.
3.- DURACIÓN DEL ACUERDO
Este DPA tendrá la misma vigencia que el contrato de prestación de servicios y se prorrogará anualmente de forma automática, salvo finalización de la relación contractual por las causas pactadas, incluida la rescisión anticipada.
Una vez extinguido el contrato, KoraiTech, según la decisión del Cliente, suprimirá o devolverá los datos personales tratados y eliminará cualquier copia, salvo obligación legal de conservación conforme al Derecho de la Unión o de los Estados miembros (art. 28 g) RGPD).
4.- OBJETO DEL ACUERDO
El acuerdo habilita a KoraiTech como encargado del tratamiento para procesar, por cuenta del Cliente, los datos personales necesarios para prestar los servicios contratados, en especial los vinculados al acceso y uso del sitio web, siguiendo las instrucciones recogidas en este documento y en el contrato de servicios.
El tratamiento puede comprender operaciones de recogida, estructuración, conservación, consulta, supresión y comunicación de datos personales del Cliente, siempre de acuerdo con las instrucciones indicadas.
5.- CATEGORÍAS DE DATOS TRATADOS E INFORMACIÓN ASOCIADA
Para la ejecución de los servicios, el Cliente pondrá a disposición de KoraiTech la siguiente información:
- Datos identificativos profesionales (nombre, correo electrónico, teléfono, cargo).
- Información relativa al personal laboral dependiente del Cliente.
- Datos sobre transacciones de bienes y servicios.
- Datos económicos y financieros asociados al pago de los servicios.
- Datos de clientes del Cliente necesarios para la prestación de servicios de automatización.
- Otros datos estrictamente necesarios para la prestación de los servicios contratados.
Importante: No se tratarán datos sensibles ni datos incluidos en las categorías especiales previstas en el artículo 9 del RGPD.
6.- OBLIGACIONES DE KORAITECH
KoraiTech como encargado del tratamiento se compromete a cumplir las siguientes obligaciones conforme al RGPD y la LOPDGDD:
6.1. Utilizar los datos personales únicamente para la finalidad objeto del contrato y conforme a las instrucciones del Cliente.
6.2. Garantizar que las personas autorizadas por KoraiTech se comprometan por escrito a la confidencialidad y a cumplir las medidas de seguridad aplicables, manteniéndose la documentación acreditativa correspondiente.
6.3. Implantar las medidas de seguridad previstas en el artículo 32 RGPD, asegurando:
- Confidencialidad, integridad, disponibilidad y resiliencia de los sistemas.
- Capacidad de restaurar la disponibilidad y acceso a datos en caso de incidente.
- Verificación y evaluación regular de la eficacia de las medidas técnicas.
- Seudonimización y cifrado de datos cuando sea apropiado.
6.4. Asistir al Cliente en el ejercicio de derechos de acceso, rectificación, supresión, oposición, limitación, portabilidad y en la oposición a decisiones automatizadas. Las solicitudes recibidas se comunicarán al Cliente de forma inmediata y en ningún caso más allá del día laborable siguiente.
6.5. Colaborar con el Cliente para garantizar el cumplimiento de los artículos 32 a 36 del RGPD.
6.6. Procesar los datos conforme a las instrucciones del Cliente e informar inmediatamente si alguna instrucción infringe la normativa de protección de datos.
6.7. Llevar un registro escrito de las actividades de tratamiento efectuadas por cuenta del Cliente conforme al artículo 30 RGPD.
6.8. Proporcionar al Cliente la información necesaria para demostrar el cumplimiento del artículo 28 RGPD y permitir auditorías con las siguientes condiciones:
- Periodicidad máxima anual, salvo en caso de violaciones de seguridad en los últimos 12 meses.
- Sin divulgación de datos de otros clientes.
- Sin acceso a información financiera, comercial o que comprometa la seguridad.
- Previo aviso de al menos 30 días.
6.9. No comunicar datos a terceros sin autorización expresa del Cliente, excepto en supuestos legalmente admisibles.
6.10. Mantener el deber de secreto incluso tras la finalización del contrato y formar en protección de datos al personal autorizado.
6.11. Notificar al Cliente, en un plazo máximo de 48 horas, cualquier violación de seguridad que afecte a datos personales, incluyendo:
- Naturaleza de la violación y categorías de datos afectados.
- Número aproximado de interesados y registros afectados.
- Posibles consecuencias de la violación.
- Medidas adoptadas o propuestas para remediar la violación.
6.12. La firma del contrato implica autorización para contratar subprocesadores necesarios para el funcionamiento del servicio. Los cambios de subprocesadores se comunicarán con antelación mínima de 30 días, pudiendo el Cliente oponerse en dicho plazo. Si no hay oposición expresa, se entenderá aceptado el cambio.
6.13. Tras la finalización del contrato, devolver o suprimir los datos personales, pudiendo conservar una copia bloqueada mientras existan responsabilidades derivadas del servicio o por obligación legal.
6.14. Garantizar que las transferencias internacionales de datos se realizan conforme al Capítulo V del RGPD. Ante cambios normativos en los mecanismos de transferencia, se adoptarán las medidas adecuadas dentro de un plazo razonable acordado con el Cliente.
7.- OBLIGACIONES Y RESPONSABILIDADES DEL CLIENTE
Corresponderá al Cliente:
- Proporcionar los datos necesarios para la prestación del servicio.
- Asegurar el cumplimiento del RGPD en la utilización del sitio web.
- Realizar evaluaciones de impacto cuando proceda.
- Efectuar las consultas previas que correspondan.
- Supervisar el tratamiento efectuado por KoraiTech.
- Autorizar o denegar los cambios de subprocesadores en el plazo establecido.
8.- RESPONSABILIDAD DE LAS PARTES CONTRATANTES
Las partes responderán de los daños derivados de conductas negligentes o dolosas en el cumplimiento de sus obligaciones, sin que exista responsabilidad por casos de fuerza mayor o sucesos fortuitos admitidos por la jurisprudencia aplicable.
KoraiTech mantendrá un seguro de responsabilidad civil que cubra posibles daños derivados del tratamiento de datos personales.
9.- PROTECCIÓN DE DATOS
Los datos personales vinculados a la formalización de este DPA se incorporarán a los archivos de cada parte para la gestión de la relación establecida. Las partes se comprometen a permitir el ejercicio de los derechos reconocidos por la normativa y a proporcionar información adicional sobre su política de protección de datos cuando sea requerido.
10.- DISPOSICIÓN FINAL
El Cliente reconoce a KoraiTech el derecho a emplear la información relativa al funcionamiento, uso y soporte técnico del sitio web para fines internos legítimos como mejora y desarrollo de productos, cumplimiento de la legalidad, seguridad y prevención del fraude, siempre de forma anonimizada y agregada.
Los términos de este DPA se rigen por la normativa española y europea aplicable, sometiéndose las partes a la jurisdicción de los Juzgados y Tribunales de Valencia, España.
Para cualquier consulta sobre este DPA, puede contactar con nuestro equipo de protección de datos en info@koraitech.com