Acuerdo de Tratamiento de Datos (DPA)

Este Acuerdo de Tratamiento de Datos ("DPA") se celebra entre el Cliente ("Responsable") y GuruMood ("Encargado") y se aplica al tratamiento de datos personales que GuruMood realiza en nombre del Cliente al prestar los Servicios. Este DPA forma parte integrante de los Términos de Servicio y del Order Form/SOW aplicable. En caso de conflicto, prevalece este DPA respecto a los temas que regula.

Los términos "datos personales", "tratamiento", "interesado", "responsable", "encargado", "subencargado", "brecha de datos personales" y "autoridad de control" tienen el significado del Reglamento (UE) 2016/679 (GDPR). "Leyes de protección de datos" incluye el GDPR, el UK GDPR, la LOPDGDD, la LFPDPPP, la LGPD, la CCPA/CPRA y cualquier otra legislación equivalente aplicable al tratamiento.

El objeto es el tratamiento necesario para prestar los Servicios descritos en el Order Form/SOW. La naturaleza del tratamiento puede incluir: recolección, registro, organización, estructuración, almacenamiento, adaptación, recuperación, consulta, uso, transmisión, limitación, supresión o destrucción. La finalidad es permitir al Cliente operar agentes de IA y automatizaciones, analizar resultados, gestionar comunicaciones con usuarios finales y otras tareas definidas por el Cliente.

Este DPA se aplica mientras GuruMood trate datos personales por cuenta del Cliente, desde el inicio del Servicio hasta la eliminación o devolución de los datos tras la terminación.

Las categorías de interesados y tipos de datos dependen del Servicio contratado e incluyen, entre otros:

• Interesados: clientes finales, empleados, contactos comerciales, prospectos del Cliente.
• Tipos de datos: datos de identificación y contacto, contenido de conversaciones (texto, audio, transcripciones), metadatos de mensajes, preferencias, datos técnicos (IP, IDs, logs), datos de marketing y analítica.
• Categorías especiales: no se procesarán salvo instrucción expresa del Cliente y cumpliendo los requisitos legales adicionales aplicables.

El Cliente actúa como Responsable del tratamiento (o como Encargado para sus propios clientes, en cuyo caso GuruMood actúa como subencargado). GuruMood actúa como Encargado del tratamiento y tratará los datos únicamente conforme a instrucciones documentadas del Cliente, incluidas las contenidas en los Servicios, los Order Forms y este DPA.

1. Tratar los datos personales solo conforme a instrucciones documentadas del Cliente, incluidas las relativas a transferencias internacionales, salvo obligación legal en contrario; en tal caso, GuruMood informará al Cliente antes del tratamiento, a menos que la ley lo prohíba.
2. Garantizar que las personas autorizadas estén sujetas a obligaciones de confidencialidad adecuadas.
3. Implementar medidas técnicas y organizativas apropiadas (ver Anexo II — Medidas de Seguridad).
4. Respetar las condiciones para recurrir a subencargados (cláusula correspondiente).
5. Asistir al Cliente, en la medida de lo posible, en el cumplimiento de su obligación de responder a las solicitudes de ejercicio de derechos de los interesados.
6. Asistir al Cliente en el cumplimiento de las obligaciones de los Arts. 32-36 del GDPR, incluida la notificación de brechas y, cuando proceda, las evaluaciones de impacto (DPIA) y consultas previas.
7. A elección del Cliente, suprimir o devolver los datos personales al finalizar la prestación de los Servicios y eliminar las copias existentes salvo obligación legal de conservación.
8. Poner a disposición del Cliente la información necesaria para demostrar el cumplimiento del Art. 28 y permitir auditorías conforme a lo indicado en la sección de auditoría.
9. Informar inmediatamente al Cliente si, en su opinión, una instrucción infringe las Leyes de protección de datos.

El Cliente autoriza, con carácter general, a GuruMood a contratar subencargados para prestar los Servicios. GuruMood mantendrá una lista actualizada de subencargados, disponible bajo solicitud en privacy@gurumood.com.

GuruMood notificará al Cliente con al menos 30 días de antelación cualquier cambio previsto (incorporación o sustitución de subencargados), dando al Cliente la oportunidad de oponerse razonadamente. Si el Cliente se opone por motivos legítimos relacionados con la protección de datos, las partes negociarán de buena fe. Si no se alcanza una solución, el Cliente podrá terminar los Servicios afectados.

GuruMood impondrá a los subencargados obligaciones de protección de datos equivalentes a las establecidas en este DPA y seguirá siendo responsable frente al Cliente por el cumplimiento de dichas obligaciones.

Cuando el tratamiento implique transferencias de datos personales fuera del EEE, el Reino Unido o Suiza a países sin decisión de adecuación, se aplicarán salvaguardas adecuadas:

• Cláusulas Contractuales Tipo de la UE 2021/914 (Módulo 2: Responsable–Encargado, o Módulo 3: Encargado–Subencargado, según corresponda), incorporadas por referencia a este DPA.
• Adenda del Reino Unido (UK IDTA) cuando se transfieran datos sujetos al UK GDPR.
• Adenda suiza cuando se transfieran datos sujetos a la FADP.
• Medidas complementarias: cifrado en tránsito y en reposo, pseudonimización, controles de acceso estrictos, y evaluación de impacto de transferencia cuando proceda.

Las firmas de las partes en los Términos de Servicio, Order Form o DPA se considerarán firma en las SCCs correspondientes.

GuruMood notificará al Cliente sin dilación indebida y, en cualquier caso, dentro de las 72 horas desde que tenga conocimiento de una brecha de datos personales. La notificación incluirá, en la medida de lo posible: la naturaleza de la brecha, categorías y número aproximado de interesados y registros afectados, medidas adoptadas o propuestas, y datos de contacto del responsable de seguridad. GuruMood asistirá al Cliente en el cumplimiento de sus obligaciones de notificación a autoridades e interesados.

Considerando la naturaleza del tratamiento, GuruMood asistirá al Cliente mediante medidas técnicas y organizativas apropiadas a responder a solicitudes de ejercicio de derechos. Si GuruMood recibe directamente una solicitud de un interesado, redirigirá al interesado al Cliente e informará a este sin demora.

GuruMood proporcionará al Cliente la información razonable necesaria para realizar evaluaciones de impacto de protección de datos (DPIA) y, en su caso, consultas previas a la autoridad de control, en relación con los Servicios contratados.

Al finalizar los Servicios, GuruMood, a elección del Cliente, devolverá o eliminará los datos personales en un plazo máximo de 30 días, salvo obligación legal de conservación. Los datos en backups se eliminarán dentro del ciclo normal de rotación de backups (hasta 90 días).

GuruMood pondrá a disposición del Cliente información razonable (certificaciones, resúmenes de auditoría, respuestas a cuestionarios) para demostrar el cumplimiento. El Cliente podrá solicitar una auditoría una vez al año, con al menos 30 días de antelación, sujeto a obligaciones de confidencialidad y durante el horario laboral normal, sin interrumpir las operaciones. En casos de brecha significativa o requerimiento de una autoridad, se podrá acordar una auditoría adicional.

La responsabilidad de las partes bajo este DPA está sujeta a las limitaciones establecidas en los Términos de Servicio y el Order Form/SOW aplicable, salvo que la ley imponga lo contrario.

A. Lista de partes: el Cliente (Responsable o Encargado inicial) y GuruMood (Encargado o Subencargado). B. Descripción de la transferencia: según lo establecido en el Order Form/SOW. C. Autoridad de control competente: la del Estado miembro del establecimiento principal del Cliente en la UE; el ICO para el Reino Unido; el FDPIC para Suiza.

• Seudonimización y cifrado: TLS 1.2+ en tránsito, AES-256 en reposo, gestión de claves controlada.
• Confidencialidad, integridad, disponibilidad y resiliencia continua de los sistemas y servicios.
• Capacidad de restaurar la disponibilidad y el acceso a los datos en caso de incidente físico o técnico (backups, DR).
• Proceso de verificación, evaluación y valoración regular de la eficacia de las medidas.
• Controles de acceso: RBAC, MFA obligatorio para personal, principio de mínimo privilegio, revisión periódica de permisos.
• Seguridad operativa: gestión de parches, análisis de vulnerabilidades, tests de penetración, monitoreo y SIEM.
• Seguridad física en los centros de datos utilizados por los proveedores cloud (certificaciones SOC 2, ISO 27001).
• Gestión de personal: acuerdos de confidencialidad, verificación de antecedentes, formación periódica.
• Gestión de proveedores: due diligence de seguridad, contratos con cláusulas de protección de datos.
• Gestión de incidentes: procedimiento documentado, roles asignados, tiempos de respuesta definidos.

Para preguntas sobre este DPA o para solicitar la lista de subencargados, contacta con privacy@gurumood.com.