Acuerdo de Procesamiento de Datos
Data Processing Agreement (DPA)
Última actualización: 18 de diciembre de 2025
Para Empresas y Clientes Business
Este Acuerdo de Procesamiento de Datos ("DPA") forma parte de los Términos de Servicio entre LectorAI ("Procesador") y el Cliente ("Responsable del Tratamiento") para el uso de nuestros servicios.
Este DPA está diseñado para cumplir con los requisitos del Artículo 28 del Reglamento General de Protección de Datos (RGPD/GDPR).
1. Definiciones
- "Datos Personales"
- Cualquier información relativa a una persona física identificada o identificable, según se define en el RGPD.
- "Procesamiento"
- Cualquier operación realizada sobre datos personales, como recogida, registro, organización, almacenamiento, adaptación, consulta, utilización, comunicación, limitación, supresión o destrucción.
- "Subprocesador"
- Cualquier tercero contratado por el Procesador para procesar datos personales en nombre del Responsable.
- "Violación de Datos"
- Una brecha de seguridad que conduce a la destrucción, pérdida, alteración o divulgación no autorizada de datos personales.
2. Alcance del Procesamiento
2.1 Naturaleza y finalidad
El Procesador procesará datos personales únicamente para proporcionar los servicios de traducción de libros contratados, incluyendo:
- Procesamiento de archivos subidos
- Traducción mediante modelos de IA
- Generación de archivos traducidos
- Gestión de cuenta y facturación
2.2 Tipos de datos personales
- Datos de identificación (nombre, email)
- Contenido de los libros subidos (que puede contener datos personales)
- Datos de uso y logs de actividad
- Datos de facturación
2.3 Categorías de interesados
- Empleados y contratistas del Cliente
- Usuarios finales del servicio
- Terceros mencionados en el contenido subido
3. Obligaciones del Procesador
El Procesador se compromete a:
- 3.1 Procesar datos personales únicamente según las instrucciones documentadas del Responsable.
- 3.2 Garantizar que las personas autorizadas para procesar datos personales se hayan comprometido a la confidencialidad.
- 3.3 Implementar medidas técnicas y organizativas apropiadas para garantizar la seguridad de los datos.
- 3.4 Respetar las condiciones para recurrir a subprocesadores, incluyendo autorización previa.
- 3.5 Asistir al Responsable en responder a solicitudes de ejercicio de derechos de los interesados.
- 3.6 Ayudar al Responsable a garantizar el cumplimiento de las obligaciones de seguridad, notificación de violaciones y evaluaciones de impacto.
- 3.7 A elección del Responsable, suprimir o devolver todos los datos personales al finalizar los servicios.
- 3.8 Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento.
4. Subprocesadores
El Cliente autoriza al Procesador a utilizar los siguientes subprocesadores:
| Subprocesador | Finalidad | Ubicación |
|---|---|---|
| Amazon Web Services (AWS) | Infraestructura y almacenamiento | UE / EE.UU. |
| OpenAI | Procesamiento de IA para traducciones | EE.UU. |
| Anthropic | Procesamiento de IA para traducciones | EE.UU. |
| Stripe | Procesamiento de pagos | EE.UU. |
El Procesador notificará al Responsable cualquier cambio previsto en los subprocesadores con al menos 30 días de antelación.
5. Medidas de Seguridad
El Procesador implementa las siguientes medidas de seguridad:
- Cifrado de datos en tránsito (TLS 1.3) y en reposo (AES-256)
- Control de acceso basado en roles
- Autenticación multifactor disponible
- Registro de auditoría de accesos y cambios
- Copias de seguridad regulares cifradas
- Monitorización de seguridad 24/7
- Pruebas de penetración periódicas
- Plan de respuesta a incidentes documentado
6. Notificación de Violaciones
En caso de una violación de datos personales, el Procesador:
- 6.1 Notificará al Responsable sin dilación indebida, y en cualquier caso dentro de las 48 horas siguientes a tener conocimiento de la violación.
- 6.2 Proporcionará información sobre la naturaleza de la violación, categorías y número aproximado de interesados afectados, y medidas adoptadas.
- 6.3 Cooperará con el Responsable en la investigación y mitigación de la violación.
7. Transferencias Internacionales
Para transferencias de datos fuera del EEE, el Procesador garantiza que se aplican las salvaguardias adecuadas, incluyendo:
- Cláusulas contractuales tipo (SCC) de la Comisión Europea
- Marco de Privacidad de Datos UE-EE.UU. cuando corresponda
- Medidas técnicas suplementarias según las recomendaciones del EDPB
8. Auditorías
El Procesador pondrá a disposición del Responsable:
- Informes de auditoría de seguridad (SOC 2 cuando esté disponible)
- Documentación de medidas de seguridad implementadas
- Acceso a registros de auditoría previa solicitud justificada
Para auditorías in situ, el Responsable deberá proporcionar un aviso razonable (mínimo 30 días) y asumir los costes asociados.
9. Duración y Terminación
Este DPA permanecerá vigente mientras el Procesador procese datos personales en nombre del Responsable. Al terminar:
- El Procesador dejará de procesar datos personales
- A elección del Responsable: devolución o eliminación de datos
- Certificación de eliminación si se solicita
- Retención permitida solo por obligaciones legales
Solicitar DPA Firmado
Si necesitas una copia firmada de este DPA para tus registros de cumplimiento:
- Email: [email protected]
- Asunto: Solicitud DPA - [Nombre de tu empresa]
Incluye el nombre de tu empresa, nombre de contacto, y el plan de LectorAI que utilizas. Responderemos en un plazo de 5 días hábiles.